picasso

1. Prawy klik na ten svchost > Przejdź do usług > wypisz podświetlone obiekty. 2. Błąd aktualizacji MSSE: jaki? Spróbuj ręcznie zainstalować definicje: KLIK.

1. Adware pomyślnie usunięte. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. System nie jest zaktualizowany kompletnie. Stoi stara wersja IE8 i kto to wie czego tu jeszcze brakuje. Zainstaluj ręcznie IE11: KLIK. Następnie włącz zdeaktywowaną usługę Windows Update i wykonaj kompletne sprawdzanie Windows Update. Podczas tego procesu Windows może zamulić jeszcze bardziej (obciążenie svchost), należy to przeczekać. Sugestie: 1. W msconfig w karcie Uruchamianie wyłącz uTorrent, natomiast w karcie usługi zdeaktuwuj Windows Defender. Restart systemu. 2. W przypadku braku rezultatów sprawdź czy to jednak nie jest problem Avast.

Temat przenoszę do działu Windows. Brak oznak infekcji. W systemie działa potwornie stary Norton Internet Security, który może być przypuszczalną przyczyną tych zachowań. 1. Odinstaluj starocie i zbędne programy zintegrowane na Asus: Adobe Flash Player 10, ASUS WebStorage, Bing Bar, Norton Internet Security. Porównaj też z tym postem: KLIK. 2. Po akcji zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Addition.

Temat przenoszę do działu Windows. Żadnych oznak infekcji. O jakich konkretnie usługach mowa? A z raportów nic nie wynika. Zapewne problem tworzy ten wpis sterowników AMD: HKLM-x32\...\Run: [AMD AVT] => C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe [20992 2012-03-19] () Wyłącz go za pomocą msconfig. PS. Do wykonania skrypt kosmetyczny usuwający wpisy odpadkowe:

Jeśli chodzi o spowolnienie, to jedną z przyczyn może być aktywne adware Safefinder. Ale pozostałe wątki to już prawdopodobnie problem bardziej sprzętowy i potem ewentualnie założysz nowy temat w dziale Hardware podając dane wymagane działem: KLIK. Jeśli chodzi o czyszczenie adware i inne działania nie powiązane z problemami grafiki: 1. Nie masz obecnie żadnego programu emulującego, a jest aktywny sterownik SPTD2. Usuń go tym samym narzędziem SPTDinst za pomocą którego go zainstalowałeś. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware SafeFinder, a także naruszony Игровой центр Mail.Ru oraz zbędne programy Akamai NetSession Interface, Driver Booster 3.2. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe [941568 2016-05-27] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Quoteex\Scot-Eco.dll => C:\ProgramData\Quoteex\Scot-Eco.dll [363008 2016-05-27] () AppInit_DLLs-x32: C:\ProgramData\Quoteex\ZaamFax.dll => C:\ProgramData\Quoteex\ZaamFax.dll [257536 2016-05-27] () ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OY7gDUyrMyQszB-yIghIsElFsu8duvlGBQEFCNhlJB5vcusY32JmBVAjg-BMAimcCt7wmqJSCDzMb5PhEaA4bTLGSWQ,, HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OeJrCR4TjM8fT_Vd1FP43gWis5e157U-kiimFXPKpErYpUxGyq6OinOY66imQMNzhIUzqmFbE65iNIQPxLCP-cb0kMg,,&q={searchTerms} HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7Ck6nlBtn_wO8kGv5YuedJgifiQJCyvrutovnZJhs4_j_6x6Jv-3e5Q4Ee6hS9oQToUv6iYXTod-I2oVNjww6Q4eJB0w,, HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OeJrCR4TjM8fT_Vd1FP43gWis5e157U-kiimFXPKpErYpUxGyq6OinOY66imQMNzhIUzqmFbE65iNIQPxLCP-cb0kMg,,&q={searchTerms} HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrBgWCryBANtUuGpSxEqSPHrobnmFnREutApeddew96XPV9Oz-WTfphKNI1RnE9b7OeJrCR4TjM8fT_Vd1FP43gWis5e157U-kiimFXPKpErYpUxGyq6OinOY66imQMNzhIUzqmFbE65iNIQPxLCP-cb0kMg,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-4005203590-2278095804-2477096586-1001 -> DefaultScope {ielnksrch} URL = BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> C:\Program Files (x86)\Norton Internet Security\Engine\21.7.0.11\IPS\IPSBHO.DLL => Brak pliku CustomCLSID: HKU\S-1-5-21-4005203590-2278095804-2477096586-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-78F0DE19A1AF}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\...\Run: [GameCenterMailRu] => "C:\Users\Jan\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" -autostart HKU\S-1-5-21-4005203590-2278095804-2477096586-1001\...\Policies\Explorer: [] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Quoteex C:\ProgramData\Quoteexs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk C:\Users\Jan\AppData\Local\Disc_Soft_Ltd C:\Users\Jan\AppData\Roaming\*.* C:\Users\Jan\AppData\Roaming\Mozilla C:\Users\Jan\AppData\Roaming\Microsoft\Word\7.%20Testowanie%20hipotez%20nieparametrycznych%20(305222520190784955\7.%20Testowanie%20hipotez%20nieparametrycznych%20(1).docx.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Word\chi-kwadrat305227443216126956\chi-kwadrat.doc.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Word\Nowy%20Microsoft%20Word%20Document%20(2)305222522876073795\Nowy%20Microsoft%20Word%20Document%20(2).docx.lnk C:\Users\Jan\AppData\Roaming\Microsoft\Word\STATYSTYKA305222442420747425\STATYSTYKA.docx.lnk C:\Users\Jan\Desktop\* Mail.Ru.lnk C:\WINDOWS\SysWOW64\HRUPPROG.TXT C:\WINDOWS\SysWOW64\HRUPPROG.EXIT CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj niepożądane rozszerzenie Bazz Search. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows, brak oznak infekcji. "Rootkit" wykryty przez GMER to sterownik DAEMON Tools. I to jakaś stara wersja: R1 dtsoftbus01; C:\Windows\System32\drivers\dtsoftbus01.sys [283064 2013-11-13] (Disc Soft Ltd) Ogólnie na temat emulatorów: KLIK. Z raportów nic nie wynika. Sugestie: 1. Na szybko do usunięcia odpadki po aktualizacji z Windows 7 do 10 oraz różne szczątkowe wpisy: 2. Odinstaluj stary DAEMON Tools Lite, co zniesie aktywność powiązanego sterownika. 3. Wykonaj kroki z tego tematu: KLIK. 4. Przetestuj też start systemu na tzw. "czystym rozruchu": KLIK. W przypadku braku rezultatów odinstaluj na próbę Avast. 5. Jeśli nie będzie zmian, dostarcz log startowy: KLIK (zgłoś temat do moderatora mgrzeg).

To nie wygląda na infekcję. Jaki plik próbowałaś wysyłać, tzn. o jakim rozszerzeniu? I czy to przypadkiem nie ma związku z tym: KLIK? O co chodzi z infekcją rootkit, gdzie to widzisz? Jeśli pijesz do odczytu GMER, to pewnie sterownik SPTD ma coś do rzeczy. Najwyraźniej omyłkowo zainstalowałaś go co dopiero... I nie widać żadnych aktywnych infekcji, poza drobnymi odpadkami adware. Natomiast system wymaga i tak interwencji. Przede wszystkim masakra w antywirusach, są aż trzy uruchomione w tym samym czasie: Avast, AVG (stary) i McAfee (niepoprawnie odinstalowany). Działania pod tym kątem: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Reader XI (11.0.07) - Polish, AVG 2014, Microsoft Outlook Social Connector Provider for Windows Live Messenger 32-bit, PC Cleaners (adware), RealPlayer, Visual Studio 2012 x64 Redistributables (od AVG), Visual Studio 2012 x86 Redistributables (od AVG). - Uruchom specjalizowany usuwacz McAfee Consumer Product Removal Tool. - Uruchom narzędzie SPTDinst i zastosuj opcję Uninstall. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-08-23] (AVG Technologies) S3 gfiutil; C:\Windows\System32\drivers\gfiutil.sys [31264 2013-09-04] (ThreatTrack Security) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S4 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X] S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X] AppInit_DLLs: C:\ProgramData\Quotenamron\BioNix.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Airtough.dll => Brak pliku HKLM\...\Run: [] => [X] HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\...\Run: [AVG-Secure-Search-Update_0414c] => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2725912 2014-04-26] () HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\...\Run: [Remote Mouse] => C:\Program Files (x86)\Remote Mouse\RemoteMouse.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> Task: {29267F20-66CB-46A0-9C99-BFCF9BE810D7} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe Task: {6448FFC9-F220-4852-B184-461BAB8FC7C7} - System32\Tasks\Price Fountain => C:\Users\Inga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {9DB5A627-D68B-4A0A-9358-C5F499BF9CEF} - System32\Tasks\{CD87333C-DEE3-4FC8-B58C-114C4DB11E78} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Cutter 2\Uninstall.exe" Task: {AEE7B4E7-82A6-40C0-8BC4-500D89E438F5} - System32\Tasks\{6A39D6B3-30E8-46A5-B787-08B6ECBA3723} => pcalua.exe -a "C:\Program Files\McAfee Security Scan\uninstall.exe" Task: {D3FFA78D-4664-4DB2-B81F-B1563E6BFA2D} - System32\Tasks\AVG-Secure-Search-Update_0414c_rel => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2014-04-26] () Task: {D5D7DB37-EDD0-47FC-80FD-FF64941F44F0} - System32\Tasks\AVG-Secure-Search-Update_0414c_rmv => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe [2014-04-26] () Task: C:\Windows\Tasks\0814tbUpdateInfo.job => C:\ProgramData\Avg_Update_0814tb\0814tb_{AC57B531-69FB-4E69-9D75-C5228D89ED14}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_0414c_rel.job => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_0414c_rmv.job => C:\Program Files (x86)\Avg Secure Update\AVG-Secure-Search-Update_0414c.exe Task: C:\Windows\Tasks\pc-dis-upd.job => C:\Program Files (x86)\PC Cleaners\PCCleaners.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Inga\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE CustomCLSID: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1426106567&from=cor&uid=TOSHIBAXMQ01ABD075_63M3P5F1TXX63M3P5F1T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://toshiba.eu/symbaloo_c HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1426106290&from=cor&uid=TOSHIBAXMQ01ABD075_63M3P5F1TXX63M3P5F1T&q={searchTerms} HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3135212574-2383626176-3544364843-1005\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {23B39B67-78DB-430D-9400-AD68FAA371E1} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3135212574-2383626176-3544364843-1005 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku BHO-x32: Brak nazwy -> {b608cc98-54de-4775-96c9-097de398500c} -> Brak pliku CHR HomePage: Default -> mysearch.avg.com/?cid={1B77AD8B-3D5F-49AA-A6F7-7629E2520A30}&mid=4fb1f8675d5e47d3a1c0759276a51cd7-460d2c5c7700cb7e847e42300f78c469716c2977&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-02-05%2022:31:26&v=18.1.5.512&pid=safeguard&sg=&sap=hp CHR StartupUrls: Default -> "hxxps://www.google.no/webhp?sourceid=chrome-instant&rlz=1C1RNVH_enPL567PL568&ion=1&espv=2&ie=UTF-8" CHR DefaultSearchURL: Default -> hxxp://do-search.com/web/?type=dspp&ts=1426106567&from=cor&uid=TOSHIBAXMQ01ABD075_63M3P5F1TXX63M3P5F1T&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder CHR HKLM-x32\...\Chrome\Extension: [idhngdhcfkoamngbedgpaokgjbnpdiji] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Chrome\Ext\realdownloader.crx [2013-08-15] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avgwd DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Mobile Partner. RunOuc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RealNetworks Downloader Resolver Service DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AVG-Secure-Search-Update_0414c /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Remote Mouse" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v cFosSpeed /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v TkBellExe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AVG_UI /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f C:\Program Files (x86)\Avg Secure Update C:\ProgramData\pclunst.exe C:\ProgramData\Avg_Update_0814tb C:\ProgramData\Logic Handler C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Cleaners C:\Users\Inga\AppData\Local\5D515C96_stp.CIS C:\Users\Inga\AppData\Local\5D515C96_stp.CIS.part C:\Users\Inga\AppData\Roaming\*.* C:\Users\Inga\AppData\Roaming\Mozilla C:\Users\Inga\AppData\Roaming\PriceFountainUpdateVer C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bitstrips.lnk C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PicMonkey.lnk C:\Users\Inga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pixlr-o-Matic.lnk C:\Windows\system32\drivers\avgtpx64.sys C:\Windows\System32\drivers\gfiutil.sys C:\Windows\SysWOW64\findit.xml CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj RealDownloader, o ile nadal będzie widoczny po deinstalacji RealPlayer. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Masa infekcji, m.in. adware Adclick które modyfikuje wartości Userinit, infekcja WMI oraz infekcja DNS. Akcje do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware Body Text Feathering, CleanBrowser, groover, shopperz, TTWiFi 1.0.0.1 oraz zbędny Akamai NetSession Interface. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, z prawokliku na plik deinstalacyjny "Uruchom jako administrator". Po deinstalacji zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, HKLM-x32\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, [X] HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Run: [Pritc] => C:\Users\Michał\AppData\Local\Temp\00009286\casrss.exe [2967552 2016-06-05] (VLOME) HKU\S-1-5-21-1421970685-546915502-2319007883-1001\...\Policies\system: [DisableLockWorkstation] 0 HKLM-x32\...\Run: [WireLessMouse] => C:\Program Files (x86)\Office Mouse Driver\StartAutorun.exe MouseDrv.exe R2 dowidoly; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\jnsmF91C.tmp [244224 2016-06-05] () [brak podpisu cyfrowego] R2 Giinno; C:\Users\Michał\AppData\Roaming\FuslyPalri\Hoefg.exe [121344 2016-06-05] () [brak podpisu cyfrowego] R2 rijufoze; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\hnsv109D.tmp [138240 2016-06-05] () [brak podpisu cyfrowego] R2 zigipyro; C:\Users\Michał\AppData\Local\00000000-1465136256-0000-0000-D43D7EEF6E46\qnsqB11A.tmp [158720 2016-06-05] () [brak podpisu cyfrowego] S2 doroghtshejasmoduleservice; "C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduleservice.html5" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X] R2 xeruvoqyzbt; C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46\knslDEC7.tmpfs [X] R1 bsdpf64; C:\WINDOWS\system32\Drivers\bsdpf64.sys [27456 2016-06-05] () R1 bsdpr64; C:\WINDOWS\system32\Drivers\bsdpr64.sys [26944 2016-06-05] () S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S4 nvlddmkm; \SystemRoot\system32\DRIVERS\nvlddmkm.sys [X] S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bsdpr64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpf64.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\bsdpr64.sys => ""="Driver" Task: {0CCDE892-4C86-47F1-AE32-66109B874577} - System32\Tasks\{1690D60F-4AD3-4AF3-9702-299794E1F28C} => pcalua.exe -a E:\Gry\nwn2.exe -d E:\Gry Task: {20166514-F39F-4C94-8B92-875028E71B51} - System32\Tasks\AMD Updater => C:\Program Files\AMD\CIM\\Bin64\InstallManagerApp.exe Task: {2C3E00AA-3B2C-49A4-812A-63498E3090A5} - System32\Tasks\Pritc => C:\Users\Michał\AppData\Local\Temp\00009286\casrss.exe [2016-06-05] (VLOME) Task: {72BBB419-A580-498B-9C18-CD69BD078365} - System32\Tasks\{77AEE6F1-9A05-4ACD-8443-BEB31AD4D893} => pcalua.exe -a E:\Gry\KOTOR\launcher.exe -d E:\Gry\KOTOR Task: {8371FD40-C2A8-45F5-9F23-AFFBA8F202BD} - System32\Tasks\Doroghtshejas Module => C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduletask.exe [2016-06-03] () Tcpip\..\Interfaces\{0CD180B4-AE07-4981-BBC9-FA737C2F03FB}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{378AB08B-2B79-4932-A36A-C281B89532BA}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{44EEB171-8036-4744-A61E-BE7E237EEE90}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928D-CBEB-45EA-A621-800A9249001D}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{AB016443-29BF-40B5-9434-2D698A80F392}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{b38d360d-6dba-11e3-824e-806e6f6e6963}: [NameServer] 104.197.191.4 WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://navigation.iwatchavi.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1421970685-546915502-2319007883-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=182&d=20151217 Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Pamj DeleteKey: HKLM\SOFTWARE\Toilqows DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}, DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} DeleteKey: HKLM\SOFTWARE\Classes\Patch Fix Install.DynamicNS DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{DCFCC2EC-3F33-45A8-8ADF-A6C81F11232F} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\Patch Fix Install.DynamicNS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MPC DeleteKey: HKLM\SOFTWARE\Wow6432Node\Pamj DeleteKey: HKLM\SOFTWARE\Wow6432Node\Toilqows C:\Program Files\Pamj C:\Program Files\PamjUn C:\Program Files\Toilqows C:\Program Files\ToilqowsUn C:\Program Files (x86)\00000000-1465050606-0000-0000-D43D7EEF6E46 C:\Program Files (x86)\AnySend C:\Program Files (x86)\CleanBrowser C:\Program Files (x86)\Cneleprupoch C:\Program Files (x86)\Decoing C:\Program Files (x86)\Doroghtshejas C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\ttwifi C:\ProgramData\WindowsMsg C:\ProgramData\Microsoft\Windows\GameExplorer\{24566070-140B-4CD5-AB90-145F78C63DF6} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ttwifi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\Users\Michał\AppData\Local\nsh680F.tmp C:\Users\Michał\AppData\Local\00000000-1465136256-0000-0000-D43D7EEF6E46 C:\Users\Michał\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Michał\AppData\Local\app C:\Users\Michał\AppData\Local\Tempfolder C:\Users\Michał\AppData\Roaming\del.bat C:\Users\Michał\AppData\Roaming\Enimr C:\Users\Michał\AppData\Roaming\FuslyPalri C:\Users\Michał\AppData\Roaming\MCorp C:\Users\Michał\AppData\Roaming\Mibgo C:\Users\Michał\AppData\Roaming\RiksSofai C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Borderlands.2.Incl.All.24.DLC.[1.7].W.B.Repack C:\Users\Michał\Downloads\Patch Fix Install.rar C:\Users\Michał\Downloads\Patch Fix Install C:\Windows\run.vbs C:\Windows\system32\Drivers\bsdpf64.sys C:\Windows\system32\Drivers\bsdpr64.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome został ustawiony przez adware dziwny profil ChromeDefaultData jako domyślny. Wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > zaloguj się na ten profil, a okno poprzedniego zamknij. Następnie skasuj z listy Osoby poprzednie profile, ten "ChromeDefaultData" przypuszczalnie będzie pod nazwą user0 lub coś podobnego. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Przedstaw raport AdwCleaner pokazujący dokładnie te wyniki. W raporcie FRST nie ma śladu instalacji programów grupy Systweak. Ale do deinstalacji wątpliwy program Dll-Files.com Fixer wersja 2.7.72.2024.

Będę także wyrzucać wszystkie elementy Firefoxa, który wygląda na odinstalowany. Działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Z prawokliku na plik deinstalatora "Uruchom jako administrator". Po deinstalacji zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\Konksolex\Ranksunlex.dll => C:\ProgramData\Konksolex\Ranksunlex.dll [363008 2016-06-05] () AppInit_DLLs-x32: C:\ProgramData\Konksolex\Fixtrax.dll => C:\ProgramData\Konksolex\Fixtrax.dll [257536 2016-06-05] () HKLM-x32\...\RunOnce: [systwin] => C:\Windows\systwin.exe [305893 2016-06-05] ( ) HKLM-x32\...\RunOnce: [AdBlock2] => [X] HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-06-05] () [brak podpisu cyfrowego] R2 ProntSpooler; C:\Users\Ja\AppData\Local\Apps\2.0\abril.exe [134656 2016-06-05] () [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-05] () R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Task: {0752864D-3EDE-4798-AD13-740E5DCE5E56} - System32\Tasks\VirusRemover => C:\Users\Ja\AppData\Local\Temp\VirusRemover.exe [2016-06-05] ( ) Task: {119FD585-EDEF-4C52-9625-B048D4F4D1CF} - System32\Tasks\{F7AAFFFB-C7D7-479D-BF99-D9CFDBD66686} => pcalua.exe -a C:\Users\Ja\AppData\Local\Temp\Temp1_RegCleaner.zip\RegCleaner.exe Task: {7F2E7115-6E7A-47DF-B40E-FF1837E1DD9C} - System32\Tasks\{CE95EC23-332A-45BE-91B2-B23197BAE6F7} => pcalua.exe -a "C:\Users\Ja\AppData\Local\Temp\Temp1_NokiaFREE_v310_Nokia_unlock_codes_calculator (1).zip\NokiaFREE_v310_Setup.exe" Task: {7FF91FD7-47C7-488D-9998-197D0925B33A} - System32\Tasks\{052750AA-11AE-48A8-90FE-E6D2AC95B021} => pcalua.exe -a "G:\Adobe CS4\payloads\AdobeAIR1.0\AdobeAIRInstaller.exe" -d "C:\Program Files (x86)\Common Files\Adobe\Installers\faf656ef605427ee2f42989c3ad31b8" -c -silent Task: {9FCD3C57-2967-4CEE-BA91-49FB50E16388} - System32\Tasks\Doroghtshejas Module => C:\Program Files (x86)\Doroghtshejas\doroghtshejasmoduletask.exe [2016-06-05] () Task: {D0F120EF-FE56-4436-A5B5-3C95985286F7} - System32\Tasks\MPC AdCleaner => C:\Program Files (x86)\MPC AdCleaner\AdCleaner.exe [2016-03-10] (DotC United Inc) Task: {DEBCE895-4980-40E3-BD86-73A05E8AEE01} - System32\Tasks\{DBA6B979-1F8A-46F3-ADF3-C68ED12032FF} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {DF39A546-1661-4B70-8776-CDCFA959F6B2} - System32\Tasks\AdBlock => C:\Windows\AdBlock.exe [2016-06-04] ( ) Task: {F809FFBA-0714-49BC-8BA0-56DC9D3D59DA} - System32\Tasks\psv_Cof-Tom => /c regedit.exe /s "C:\ProgramData\Ronzap\Bluetip.reg" & del "C:\ProgramData\Ronzap\Bluetip.reg" & SCHTASKS /Delete /TN "psv_Cof-Tom" /F ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {F154C596-75A9-4028-90E8-9752BD7CA05B} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchab.com/?aff=7&uid=99d00908-6ded-11e2-9e49-b870f4e84ff6&q={searchTerms} SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=92DA9439E502445D&affID=119357&tsp=4986 SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {11E6CFD8-21BC-40A7-84CB-DEF708E0614E} URL = hxxps://www.google.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-601893080-2870670082-4129359601-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuPOB2E6QjqkhGUHXRX8JzCb_5MCvt2pVkGXricavWxw9YX5xNv44zr4YRvaAjeusOwOn3Rv6fJx1uibsNukl1mOWrkUkCvew4Trl_8CsZZYZoX-PQBOZ1zLh87TJmgzo_Fy6XmTyu-Zi2qhq4SUE455yC-qUgX&q={searchTerms} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\8E5BBBB9-1465107894-E011-9617-B870F4E84FF6 C:\Program Files (x86)\Doroghtshejas C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC AdCleaner C:\Program Files (x86)\MPC Cleaner C:\ProgramData\CloudPrinter C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\ProgramData\Logic Handler C:\ProgramData\Mozilla C:\ProgramData\Ronzaps C:\ProgramData\UniqueId C:\ProgramData\VsTelemetry C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2+2 v.2.1a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-Kiosk Reader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HideIPVPN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\Star Wars - The Old Republic.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\SWTOR Customer Support.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View Readme.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mForex Trader\Pomoc mForex Trader.lnk C:\Users\Ja\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Ja\AppData\Local\csdi_monetize_120160604 C:\Users\Ja\AppData\Local\Host Service C:\Users\Ja\AppData\Local\UCBrowser C:\Users\Ja\AppData\Local\Apps\2.0\abril.exe C:\Users\Ja\AppData\Local\Mozilla C:\Users\Ja\AppData\Roaming\*.* C:\Users\Ja\AppData\Roaming\az0hU C:\Users\Ja\AppData\Roaming\cpuminer C:\Users\Ja\AppData\Roaming\gplyra C:\Users\Ja\AppData\Roaming\MCorp C:\Users\Ja\AppData\Roaming\Media-Assistant C:\Users\Ja\AppData\Roaming\Mozilla C:\Users\Ja\AppData\Roaming\USvbT C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\COMODO GeekBuddy.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASHER C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flashtool C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MPC AdCleaner C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Ja\Desktop\MPC AdCleaner.lnk C:\Users\Ja\Downloads\SpyHunter-Installer.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\AdBlock.exe C:\Windows\systwin.exe C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\Drivers\ucguard.sys C:\Windows\SysWOW64\Number of results CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Deinstalacja MPC Cleaner prawdopodobnie zmodyfikuje preferencje Google Chrome, więc wyczyść przeglądarkę: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw też Google Chrome jako domyślną przeglądarkę, gdyż obecnie żadna przeglądarka nie jest wybrana jako domyślna. 4. Po usunięciu elementów Firefox zniknie tapeta systemowa. Skoryguj ręcznie w opcjach Windows. HKU\S-1-5-21-601893080-2870670082-4129359601-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Ja\AppData\Roaming\Mozilla\Firefox\Tapeta pulpitu.bmp 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Większość operacji wykonana, ale niestety nie zapisałeś pliku Fixlist w UTF-8, co było konieczne by przetworzyć folder z chińską nazwą. Poprawki: 1. RepairDNS nie naprawił wszystkich wystąpień zainfekowanego dnsapi.dll. Ponów operację z programem. 2. Nie ma oznak wykonania tej operacji: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: AV: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413} AS: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {F620D48B-1497-73CC-F290-58052563BEAE} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\...\Run: [AceWebExtensionUpdater] => C:\Users\Karol\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe [22824 2015-02-28] () C:\Users\Karol\AppData\Roaming\.ACEStream C:\Users\Karol\AppData\Roaming\ACEStream C:\Users\Karol\AppData\Roaming\AceWebExtension C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Zacznij od próby korekty daty z poziomu Windows. Po tym ponów próbę uruchomieniem FRST.

Działania do przeprowadzenia: 1. Zakładam, że pendrive nadal jest widoczny pod literą G:, w przeciwnym wypadku w komendach podmień literę na bieżącą. Otwórz Notatnik i wklej w nim: CloseProcesses: Winlogon\Notify\igfxcui: igfxdev.dll [X] Task: {37D3081B-1337-46AB-97AA-0306A4250B51} - System32\Tasks\Microsoft\Windows\Setup\UpgradeTriggers\UpgradeNowTask => C:\Windows\System32\GWX\GWXUXWorker.exe Task: {85D2B353-28D1-414E-9A4D-C95557DF47FD} - \{D5C4270E-AC8A-5DDF-6871-F051DFFA19B9} -> Brak pliku Task: {C375802A-339E-4E0D-95B9-3B7F872A2CB0} - System32\Tasks\{357B799F-F763-47D0-BE13-93D7C7841584} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe -c /M{268723B7-A994-4286-9F85-B974D5CAFC7B} /l1033 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "WTFast Tray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RtHDVCpl /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ShadowPlay /f C:\Program Files (x86)\prefs.js C:\Users\Marcel\AppData\Local\1754111884ee9ab5277ca00.95260103 C:\Users\Marcel\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Marcel\Desktop\Marcel\Wydatki\TrueCrypt.lnk C:\Users\Marcel\Downloads\warcraft III\warcraft III\Shortcut to w3l.exe.lnk Folder: G:\WindowsServices Folder: G:\_ CMD: attrib /d /s -s -h G:\* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. 2. Po w/w akcji na pendrive powinny się ujawnić dwa foldery: G:\_ i G:\WindowsServices. To przypuszczalnie w tym pierwszym zostały przez infekcję ukryte dane zasadnicze. Przenieś wszystkie pliki z tego folderu poziom wyżej, a folder G:\_ skasuj przez SHIFT+DEL (omija Kosz). Sprawdź co jest w folderze G:\WindowsServices, a jeśli tylko nieznane obiekty, też go skasuj.

Raporty FRST nie są tu potrzebne. AdwCleaner wykrył klucze programu IObit Uninstaller.

Tak, katastrofa z antywirusami, zainstalowane adware oraz odpadki po instalacji IOBit. Następujące akcje do wykonania: 1. Wejdź w Tryb awaryjny i zastosuj firmowy usuwacz Panda Generic Uninstaller. 2. Przejdź z powrotem w Tryb normalny. Poprzez Panel sterowania odinstaluj: - Adware/PUP: Amazon Assistant, Booking.com version 1.1.0.5019, SafeFinder, Update for PriceFountain, WarThunder, WinThruster. - Pozostałe: Adobe Shockwave Player + Authorware Web Player, Java 8 Update 77, SUPERAntiSpyware. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Zathtone.dll => C:\ProgramData\Quotenamron\Zathtone.dll [257536 2016-04-21] () S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2724128 2015-01-16] (IObit) S4 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [1017344 2016-04-21] () [brak podpisu cyfrowego] S2 rtop; "C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe" [X] Task: {5EC6C11E-9EAF-4162-81CF-E5146F93D9C0} - System32\Tasks\DistromaticSearchProtect-logon => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-20] (Distromatic) Task: {9012A5E0-8F23-444E-BB4F-90C770B9FB52} - System32\Tasks\DistromaticSearchProtect-hourly => C:\Program Files (x86)\Amazon Browser Settings\AmznSearchProtect.exe [2016-04-20] (Distromatic) Task: {B912689A-D8BB-416B-914A-A93E4B41CEB3} - System32\Tasks\Driver Booster SkipUAC (admin) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {BB8BF0FC-9FD6-4F09-9E1D-FB925CFAD18A} - System32\Tasks\adminTrowCatkinV2 => Rundll32.exe AdministratricesAlms.dll,main 7 1 Task: {C626D32D-649F-4B8D-8990-C6A84CE015A8} - System32\Tasks\DistromaticUpdater-periodic => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-20] (Distromatic) Task: {C76C41EB-442C-4804-84DF-B1AF61CFE600} - System32\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170} => C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer\syncversion.exe [2013-05-01] () Task: {F515DA5D-B244-4271-A5F8-AE402E5F5A9E} - System32\Tasks\DistromaticUpdater-logon => C:\Program Files (x86)\Amazon Browser Settings\updater.exe [2016-04-20] (Distromatic) Task: C:\Windows\Tasks\ByteFence Scan.job => C:\Program Files\ByteFence\ByteFence.exe Task: C:\Windows\Tasks\Norton 8M.job => C:\Program Files (x86)\Norton Security\Engine64\22.5.4.24\uiStub.exe Task: C:\Windows\Tasks\WarThunder sat.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\WarThunder sun.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\WarThunder05.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\WarThunder24.job => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe}hxxp:/mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ Task: C:\Windows\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170}.job => C:\Users\admin\AppData\Roaming\PRICEF~1\SYNCVE~1.EXE GroupPolicyScripts-x32: Ograniczenia HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iN8MNwZqxJ1OJiSYHbgr_JRQl9BmeqAvl3Uq3I_zKJ_3LMW4YlyouVMINVT6fuaDlMz2VQ4R9QQKUu0TFpGkiykE9n5YfP HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} SearchScopes: HKU\S-1-5-21-1693114668-2537149228-3336235061-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} SearchScopes: HKU\S-1-5-21-1693114668-2537149228-3336235061-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOCee0yRPAwrv_jK62Njfiz5lPQf1U7ejQ8FmGXvRcoNg18gQHte48rm697QpOyY4iBaPQrTknueNjlCkLN7lMTaFsIaPXAr1movn9RXgngg09PV0vfaKpMMjdi652GynY7MvtJCWv-I1cos_AvUk_yyhQ_vjh7&q={searchTerms} CHR HomePage: Default -> amazon.com/websearch/?ie=UTF8__PARAM__ CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms} CHR DefaultSearchKeyword: Default -> SafeFinder CHR HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ooebgdicanjhnamfmdlmlbcnkgehkkmf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-04-23] CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\!SASCORE DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\hpsrv DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LiveUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PandaAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Quotenamron DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 8 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PSUAMain DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sidebar DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\7-Zip C:\Program Files (x86)\Amazon Browser Settings C:\Program Files (x86)\IObit C:\Program Files (x86)\Opera C:\Program Files (x86)\WinThruster C:\Program Files (x86)\mozilla firefox\browser\searchplugins C:\ProgramData\NortonInstaller C:\ProgramData\Quotenamron C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Booking.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinThruster C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Local\TrowCatkin C:\Users\admin\AppData\Roaming\*.* C:\Users\admin\AppData\Roaming\Opera Software C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer C:\Users\admin\AppData\Roaming\Solvusoft C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\ByteFence C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\admin\Desktop\WinThruster_2016_Setup.exe C:\Users\admin\Desktop\instalki\Booking.com.lnk C:\Users\admin\Desktop\instalki\WarThunder.lnk C:\Users\admin\Desktop\instalki\WinThruster.lnk C:\Users\admin\Desktop\starv\Dont.Starve.Build.20151202.Incl.2DLCs\data\data - Shortcut.lnk C:\Windows\system32\roboot64.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Amazon Smart Search, o ile nadal będzie widoczny. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Bez raportów nie jestem w stanie pomóc. Sprawdź czy coś pomoże próba uruchomienia FRST z poziomu Trybu awaryjnego Windows.

Akcja wykonana pomyślnie. Kończymy: 1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI z Dziennika zdarzeń: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj folder E:\FRST64. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji systemowy Internet Explorer. Posiadasz starą niewpieraną już wersję IE9. Należy zainstalować IE11, pomimo że używasz tylko Firefoxa. Link do instalatora także w w/w linku. Po instalacji sprawdź też czy posiadasz wszystkie łatki z Windows Update.

Skoro nie było widać rozszerzenia, to usuń jeszcze folder rozszerzenia z dysku. Czyli ostatni skrypt do FRST: RemoveDirectory: C:\Users\Przemo\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Problem rozwiązany. Końcowe mini poprawki: 1. W tym starym profilu, który właśnie zaimplementowałeś, były następujące rozszerzenia, które należy odinstalować: CHR Extension: (Aktualizacja dodatku Flash) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjjdohpclmnphcgdgdmhoikilfcaabe [2016-05-24] Mocno podejrzane, nie ma czegoś takiego w Chrome Web Store. CHR Extension: (PoE Helper) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpdnfedfopfbealaokkpjbngaphfceoi [2014-11-18] [updateUrl: hxxps://raw.github.com/njs50/poe_ext/master/poe_updates.xml] Bardzo stare rozszerzenie, które Chrome na pewno odrzuca, bo obecnie jest blokada w przeglądarce uniemożliwiająca instalację rozszerzeń spoza Chrome Web Store. Jeśli potrzebujesz nowej wersji, to jest dostępna: Path of Exile Inventory Helper. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-543564396-1890180113-2280842612-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Mateusz\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 1 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Wszystko pomyślnie zrobione, problem rozwiązany. Drobne korekty: 1. W Operze: Ustawienia > karta Rozszerzenia > odinstaluj AS Magic Player pozostawiony po deinstalacji Ace Stream Media. 2. Jeśli Alcohol został usunięty, to należy pozbyć się też sterownika SPTD posługując się narzędziem SPTDinst: KLIK. 3. Otwórz Notatnik i wklej w nim: FF HKU\S-1-5-21-3441687360-914018952-2576187937-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Przemo\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono S3 avchv; system32\DRIVERS\avchv.sys [X] C:\Windows\system32\LavasoftTcpService64.dll C:\Windows\system32\LavasoftTcpServiceOff.ini C:\Windows\SysWOW64\LavasoftTcpService.dll C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Przemo\AppData\Roaming\.ACEStream RemoveDirectory: C:\Users\Przemo\AppData\Roaming\ACEStream RemoveDirectory: C:\Users\Przemo\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Problem podstawowy objaśniony szczegółowo. Niewiele mam do dodania. W raportach nie widać żadnej dodatkowej infekcji, ale możesz doczyścić odpadkowe wpisy po odinstalowanych programach, w tym majdan od Firefoxa: 1. Zresetuj cache wtyczek Google Chrome, by usunąć martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ProxyServer: [s-1-5-21-2304537269-2391276559-412557570-1000] => http=127.0.0.1:4444;https=127.0.0.1:4445 SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FirewallRules: [{02D13420-FAAF-490F-9255-BF31909D516D}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony PC Companion DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS Screen Saver Protector DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CLMLServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateLBPShortCut DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UpdateP2GoShortCut DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\ZST2\AppData\Local\Mozilla RemoveDirectory: C:\Users\ZST2\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite C:\Windows\Minidump\fdxryrb EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są mi potrzebne.

Tak, to wszystko. Jeśli nie ma innych problemów w systemie, temat będziemy zamykać.

1. Nie widzę oznak wykonania tych operacji, nadal te same programy na liście zainstalowanych oraz wyliczane rozszerzenia w Chrome: Do wykonania. 2. Następnie otwórz Notatnik i wklej w nim: Task: {758DC6AC-4170-48F7-B274-7E8F9FDC8D12} - \Browser Updater Task(Core) -> Brak pliku S2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [X] DeleteKey: HKCU\Software\jIxmRfR DeleteKey: HKCU\Software\Classes\jIxmRfRHTM DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\31057361_0 DeleteKey: HKLM\SOFTWARE\Classes\jIxmRfRHTM DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\jIxmRfR DeleteKey: HKLM\SOFTWARE\Wow6432Node\jIxmRfR Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v jIxmRfR /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\qwinpq RemoveDirectory: C:\Program Files (x86)\TXQQBrowser EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Problem tworzą wpisy Quotenamron. Log coś jakby sugeruje, że adware zostało nabyte podczas instalacji konwertera "Any Video Converter"... Działania do przeprowadzenia: 1. Odinstaluj programy typu adware/PUP: - Ace Stream Media 3.0.12 - Ma zintegrowany moduł adware aktywowany po określonym przedziale czasu: KLIK. - Smart File Advisor 1.1.8 - Deinstalacja jest sprzężona z Alcohol 52 i go usunie, proszę nie omiń tego kroku. To jest perfidnie skombinowana instalacja. By uniknąć instalacji tego śmiecia, należy podczas instalacji Alcohola odciąć sieć, o czym wspominam w przyklejonym: KLIK (popatrz na spód tematu). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [949248 2016-05-07] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Quotenamron\StrongStating.dll => C:\ProgramData\Quotenamron\StrongStating.dll [361984 2016-05-07] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Kanfresh.dll => Brak pliku Winlogon\Notify\igfxcui: igfxdev.dll [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] CustomCLSID: HKU\S-1-5-21-3441687360-914018952-2576187937-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\Przemo\AppData\Local\Vivaldi\Application\1.0.219.34\delegate_execute.exe" => Brak pliku HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ33Sw5LF-l3FH8gBKvU9OEYL1ziaiImGobKre6dQQmHv54a2_aIrQ3RRCqbNOGN12TqziYUV37zU5txQwHPYkU790Q2g,, HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} HKU\S-1-5-21-3441687360-914018952-2576187937-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3441687360-914018952-2576187937-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3441687360-914018952-2576187937-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPehjwSk7irWmvfZtn-frur6h6z_yKa2fBvgWsh7Y49RSirk0Tjfea9SMLUevH-1jQ79IgcmrEEV-PxTz-MtJMyWEEwjTNLqyiG2SVrKuWyIJrfgvRg_R6FrDfdrBqdU37CpEMr28bCuT9xoYeHdPj7grbmew,,&q={searchTerms} FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\findit.xml [2016-06-03] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mroczne Wieki\Mroczne Wieki EN.lnk C:\Users\Przemo\AppData\Roaming\*.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia trzeba będzie przeinstalować. I zamiast wersji uBlock, należy zainstalować rozwijaną wersję oryginalnego autora uBlock Origin. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W ShellExView prawy klik na cytowane wejście i wybierz opcję "Disable".