picasso

Skrypt FRST pomyślnie wykonany. W zakresie drobnego czyszczenia ukończyliśmy działania. Skorzystaj z DelFix. Na dalszą metę sugeruję kompleksowy format dysku, by pozbyć się wszystkich śladów szyfrowania. Jak mówiłam, niestety zaszyfrowane dane to osobny problem, nie do rozwiązania w chwili obecnej.

Skrypt wykonany. Kończymy: 1. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, bo tytułowy problem został nabyty z trefnego sponsorowanego instalatora, bądź downloadera portalowego: KLIK.

W raportach brak oznak infekcji i przenoszę temat do działu Software. Nie pokazałeś raportu AdwCleaner co niby usuwał - przedstaw ten raport z usuwania z folderu C:\AdwCleaner. Z raportów nic nie wynika, żadnych oznak związanych z tymi zachowaniami. Czy próbowałeś reinstalować przeglądarkę, z uwzględnieniem likwidacji profilu na dysku (zaznaczenie opcji Usuń także dane przeglądarki)?

Na przyszłość: nazwa raportu FRST wskazuje, że wyciągnąłeś plik z katalogu C:\FRST\Logs. To jest archiwum logów, bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku na Pulpicie. Niemniej akurat przekopiowałeś poprawną kopią, po wykonanych zadaniach. Prawie wszystko zrobione. Poprawki: 1. Nadal w Google Chrome po resetach ustawień widać to: CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1425676910&from=wnf&uid=WDCXWD3200AVVS-73L2B0_WD-WCAV1373858538585","hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=FF7BB33FD1ABCECA6A21802F55D6E89C&v=20160329&ts=AHEpCHMtBX0pBE..","hxxp://www.google.pl/" W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Google\Chrome\Extensions RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Posty połączyłam dla porządku, ale teraz oczywiście odpowiadasz mi już w nowym. Widać więcej modyfikacji adware niż zgłoszone, np. polityki Google Chrome, szkodliwe proxy. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-04-20] () S3 GDPkIcpt; \??\C:\WINDOWS\system32\drivers\PktIcpt.sys [X] S2 Lnspmekiingcachesrv; "C:\Program Files (x86)\Lnspmekiing\Lnspmekiingcachesrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] GroupPolicy: Beschränkung - Chrome CHR HKLM\SOFTWARE\Policies\Google: Beschränkung HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Beschränkung CHR HKLM-x32\...\Chrome\Extension: [ocbnpbkmjpgbdcgiflkgkpnkinifpgpj] - C:\Users\Patrycja\ChromeExtensions\ocbnpbkmjpgbdcgiflkgkpnkinifpgpj\amazon-icon-2.crx [2015-01-18] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> ShortcutWithArgument: C:\Users\Patrycja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Patrycja\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com Task: {028EC560-AE32-4587-B5CF-F5C1FFDFA021} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Keine Datei Task: {044C6631-46A3-4AAC-B220-74EB04BB196F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Keine Datei Task: {079D2CF9-F252-424F-A9C8-AC91ED8E5C54} - System32\Tasks\Busirekesp Host => Rundll32.exe "C:\Program Files (x86)\Busirekesp\Busirekesphost.dll",w Task: {3E1BA518-F750-47B6-829D-560A63FF11DB} - System32\Tasks\{453C301A-E212-4F88-8DFD-32646D65DAE4} => pcalua.exe -a "C:\Program Files (x86)\ALCATech\BPM-Studio Profi\BPM.exe" -d "C:\Program Files (x86)\ALCATech\BPM-Studio Profi" Task: {553986AF-A136-4334-B098-527692B29FF6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Keine Datei Task: {772F5C1A-E8B7-4284-9F38-F9F7004E5B2C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Keine Datei Task: {795F3B99-48D3-43D4-8348-D72524B3E5AB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Keine Datei Task: {7D3E0D40-D586-44A8-84D8-12F45E640B96} - System32\Tasks\Lnspmekiing Cache => C:\Program Files (x86)\Lnspmekiing\Lnspmekiingcachetsk.exe Task: {88263CBC-55C0-4C8A-A685-0B67093F784F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Keine Datei Task: {A2269927-4B93-496D-92D7-1ACB34872538} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Keine Datei Task: {B31D0DA5-9BF5-4F27-9A33-AC71F52A1ECD} - System32\Tasks\Ezurgyua => C:\PROGRA~1\JUKMIS~1\Ogaocfu.bat Task: {BF50596C-85BB-4011-A88D-D55C37C0FEAE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Keine Datei Task: {EA6DDCB0-A44C-4F87-8966-FF23A5EF9A05} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Keine Datei Task: {EDF311BF-6F96-491F-A7EE-B57130DAE705} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Keine Datei Task: {F816312A-DFFF-478E-9A9B-42745E39D6CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Keine Datei HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Busirekesp RemoveDirectory: C:\ProgramData\G Data RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\uninst RemoveDirectory: C:\Users\Patrycja\AppData\Local\Tempfolder RemoveDirectory: C:\Users\Patrycja\AppData\LocalLow\Company RemoveDirectory: C:\Users\Patrycja\AppData\Roaming\Fiiig RemoveDirectory: C:\Users\Patrycja\ChromeExtensions RemoveDirectory: C:\Users\Public\Documents\dmp RemoveDirectory: C:\WINDOWS\system32\oti RemoveDirectory: C:\WINDOWS\System32\Tasks\McAfee C:\Users\Patrycja\AppData\Roaming\*.* C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware (nanieś poprawki na niemiecki układ opcji): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Untersuchen (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podsumuj czy widzisz jeszcze jakieś problemy w systemie.

Doczyszczanie w/w i drobnostek: 1. Uruchom Program Install and Uninstall Troubleshooter i usuń Google Update Helper. 2. Skrypt do FRST: FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll [Brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.111\npGoogleUpdate3.dll [Brak pliku] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Battle.net DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome Przedstaw wynikowy fixlog.txt. Tak, chodzi o Podstawowe programy Live. I ten pakiet nie ma związku z przyciskami funkcyjnymi w laptopie, to majdan Microsoftu z Pocztą, Messengerem i podobnymi. Jeśli użytkownik nie korzysta, odinstaluj ten pakiet. Po deinstalacji sprawdź za pomocą podanego powyżej narzędzia Microsoftu czy nadal są widoczne w nim wpisy określone w FRST Addition flagą Hidden: ==================== Zainstalowane programy ====================== „Messenger“ pagalbinė priemonė (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Bing Rewards Client Installer (x32 Version: 16.0.345.0 - Microsoft Corporation) Hidden Doplnok programu Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Fotogalerija Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Galerie foto Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Mesh Runtime (x32 Version: 15.4.5722.2 - Microsoft Corporation) Hidden Messenger Companion (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messenger kísérő (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messenger Pratilac (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messenger Suradnik (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Messengeri kaaslane (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pomocnik Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Spremljevalec Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Помощник на Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Фотогалерия на Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Za przyciski odpowiada program ASUSa ATK Package, którego komponenty nie były ruszane przeze mnie, nie wskazywałam nic z tej paczki do deinstalacji czy usunięcia. Obecnie po Twojej reinstalacji program jest zainstalowany i uruchamia się w starcie: ==================== Zainstalowane programy ====================== ATK Package (HKLM-x32\...\{AB5C933E-5C7D-4D30-B314-9C83A49B94BE}) (Version: 1.0.0010 - ASUS) ==================== Rejestr (filtrowane) =========================== HKLM-x32\...\Run: [ATKOSD2] => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [5732992 2010-08-17] (ASUS) HKLM-x32\...\Run: [ATKMEDIA] => C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe [170624 2010-10-07] (ASUS) HKLM-x32\...\Run: [HControlUser] => C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe [105016 2009-06-19] (ASUS) ==================== Zaplanowane zadania (filtrowane) ============= Task: {D7F3FD94-DB67-4DF6-8EEA-247BFE72D6BA} - System32\Tasks\ATKOSD2 => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [2010-08-17] (ASUS) I te komponenty były też w poprzednich logach, więc nie wiem co się stało, że trzeba było reinstalować.

Wszystko zrobione. Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania kompleksowa aktualizacja systemu z Windows Update. Stan fatalny: brak SP1, IE11 i reszty łat. Do pobrania i instalacji będzie z kilkaset pozycji. Platform: Microsoft Windows 7 Home Premium (X86) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Wielkie dzięki za wsparcie. Temat rozwiązany. Zamykam.

Madzio, to że je widzisz to nie problem i nie jest nawet istotne, bo one i tak będą na każdym dysku. To że je widać: albo nie zaznaczyłeś opcji Ukryj chronione pliki systemu operacyjnego, albo foldery utraciły atrybuty HS (ukryty systemowy) na skutek Twoich niefortunnych kombinacji. Nadać im atrybuty HS to bułka z masłem i ja się tym na razie nie zajmuję, bo były o wiele większe problemy: Prosiłam o odwrócenie zmian w kontach na dysku przy udziale Przywracania systemu i przedstawienie nowych raportów FRST po użyciu Przywracania systemu.

To jest wątpliwy skaner, którego należy unikać. W wyszukiwaniu Google multum opisów-fałszywek wmanipulowywujących w instalację tego badziewia. Czy aktualizowałeś też firmware routera? Natomiast w świeżych logach widać ślady po instalacji adware, w tym zmodyfikowane skróty Google Chrome. Uruchomiłeś jakiś downloader ze sponsorami... Doczyszczanie śmieci i lokalizacji po odinstalowanym już Firefox: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Aleksiejuk\Desktop\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Aleksiejuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\Users\Aleksiejuk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Users\Aleksiejuk\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms} HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJ8C2tr3yhkHCmyqIPPv1rHOE9J8TiMhul4kGc-vEI_nMuJS3sp2paBQuHi_2x0UKxTUj_SCbb_kK2QAk1lOLPcMW5Beg,, HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms} HKU\S-1-5-21-1931283843-340991006-2778759058-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBP-OqRkK_4g5H3zXx0q1D1XXsHhKKzkrHI50yWqzPMbyo4HK0R3RtiO1hmB9aKLceumsyxrvLcUI5nTbwnmeZ8SW9hId7dlNJwbujd2VVy3tauIvAHB6qwQgBmSb2fU34_L9ggd9jm7umo4I3__aLRo8HBFwFr5hqQIGtdYiBnCkdC2xq11DIKF3i5IA,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1931283843-340991006-2778759058-1001 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1931283843-340991006-2778759058-1001 -> {A3D7DDF7-20FD-43BD-9F8C-A3B944725E75} URL = AppInit_DLLs: C:\ProgramData\Trescof\Warmdex.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Trescof\Funtouch.dll => Brak pliku Task: {6544E94A-92E2-41B4-A32B-53684F1C37C0} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe Task: {91945774-6691-40B4-825D-8848670508EE} - System32\Tasks\PDVDServ12 Task => C:\Program Files (x86)\Lenovo\PowerDVD12\PDVD12Serv.exe Task: {A8A410A0-037A-4E74-8362-F0CB8762C0D0} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-04-17] () DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Trescofs RemoveDirectory: C:\Users\Aleksiejuk\AppData\local\Mozilla RemoveDirectory: C:\Users\Aleksiejuk\AppData\Roaming\Mozilla CMD: del /q C:\Users\Aleksiejuk\AppData\Roaming\*.* CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Oczywiście temat przenoszę do właściwego działu Hardware. Komentarze poboczne ode mnie w spoilerze:

Ten problem z wyłączaniem modułów programów zabezpieczających wygląda na pochodną uszkodzeń plików systemowych. Skan SFC notuje rozwalone komponenty Windows Filtering Platform (utylizowany przez zewnętrzne programy zabezpieczające), brak plików. Nic nie zostało naprawione, gdyż brak poprawnych kopii w systemie: 2016-04-17 18:54:27, Info CSI 0000036a [sR] Cannot repair member file [l:20{10}]"fltLib.dll" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036b [sR] Cannot repair member file [l:18{9}]"fltMC.exe" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036c [sR] Cannot repair member file [l:48{24}]"FirewallControlPanel.dll" of Networking-MPSSVC, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036d [sR] Cannot repair member file [l:20{10}]"fltLib.dll" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 0000036e [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2016-04-17 18:54:27, Info CSI 0000036f [sR] Cannot repair member file [l:18{9}]"fltMC.exe" of Microsoft-Windows-FilterManager-Utils, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 00000370 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2016-04-17 18:54:27, Info CSI 00000371 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:20{10}]"fltLib.dll"; source file in store is also corrupted 2016-04-17 18:54:27, Info CSI 00000372 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:18{9}]"fltMC.exe"; source file in store is also corrupted 2016-04-17 18:54:27, Info CSI 00000373 [sR] Cannot repair member file [l:48{24}]"FirewallControlPanel.dll" of Networking-MPSSVC, Version = 6.1.7601.17514, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing 2016-04-17 18:54:27, Info CSI 00000374 [sR] This component was referenced by [l:202{101}]"Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.WindowsFoundationDelivery" 2016-04-17 18:54:27, Info CSI 00000375 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:48{24}]"FirewallControlPanel.dll"; source file in store is also corrupted Naprawa będzie polegać na dostarczeniu z mojego systemu wiernych kopii plików o identycznych sumach MD5 wymaganych przez system. Na razie podaj mi wygodniejszy do analizy spis plików. Tzn. uruchom FRST, polu Szukaj wklej co poniżej, klik w Szukaj plików i dostarcz wynikowy log. fltLib.dll;fltMC.exe;FirewallControlPanel.dll

Jeśli wykonałeś też reset Firefox jak powiedziałam, to przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu Asi foldery FRST + Stare dane programu Firefox. I na Asi już skończyliśmy. Teraz dostarcz logi FRST z kolejnego konta.

Skrypt FRST uruchomiłeś bezsensownie aż 4 razy. To skrypt jednorazowego podejścia i nie zadziała więcej niż raz, nie znajdzie rzeczy już przetworzonych wcześniej. Co się działo, że aż 4 podejścia były? Poprzednie zadania w większości wykonane (ostał się tylko jeden rekord DNS), tylko że w międzyczasie nabyłeś nowe obiekty adware, tzn. jIxmRfR - fałszywy klon Google Chrome, który podmienił wszystkie skróty Google Chrome. Kolejne czyszczenie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{E4D7884B-C731-44AC-ADC7-FB2C113BCEA1}: [DhcpNameServer] 46.101.178.39 8.8.8.8 S2 jIxmRfR_download; "C:\Users\asus\AppData\Local\Temp\ist936.tmp\tools\chr.exe" [X] Task: {1DAB0484-C91C-4387-ACA5-A6B5D2A8FC14} - \jIxmRfRCheckTask -> Brak pliku Task: {5BF2CFF9-CBB9-414E-AB90-D18AE27359F6} - \jIxmRfRBrowserUpdateCore -> Brak pliku Task: {6EB9E3F4-4799-48EF-B92C-B232A1E4E692} - \jIxmRfRBrowserUpdateUA -> Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\jIxmRfR RemoveDirectory: C:\ProgramData\jIxmRfR RemoveDirectory: C:\Users\asus\AppData\Local\jIxmRfR RemoveDirectory: C:\Users\asus\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Public\Documents\jIxmRfR RemoveDirectory: C:\WINDOWS\system32\log CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" CMD: del /q "C:\Users\asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk" CMD: del /q "C:\Users\Public\Desktop\Google Chrome.lnk" CMD: del /q C:\Users\asus\Downloads\*.exe.part CMD: del /q C:\Users\asus\Downloads\MicrosoftFixit.ProgramInstallUninstall.*.exe CMD: del /q C:\Users\asus\Downloads\OTL*.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi reset i powstanie kolejny plik fixlog.txt. Przedstaw go. 2. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Przedstaw wynikowy log. jIxmRfR;chrome.exe

Dokładnie jak podejrzewałam, poprzedni raport był nieaktualny. Obecny przedstawia tylko dwa wykryte klucze odpadkowe po adware. Usuń oczywiście za pomocą programu. Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do wykonania kompletna aktualizacja systemu z Windows Update - stan fatalny i brak mnóstwa aktualizacji (SP1, IE11 i inne łaty). Do pobrania z Windows Update będzie około kilkaset pozycji... Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Ale wyraźnie mówisz o infekcji routera, co nie ma związku z "wchodzeniem na strony". Jaki model routera tu jest? Czy w konfiguracji zmieniłeś hasło oraz zamknąłeś panel zarządzania przed dostępem z internetu? W raporcie z systemu nie ma już śladów infekcji routera, wszystkie adresy pobierane z routera oraz te ustawione po stronie Windows zostały ręcznie ustawione na Google: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{42ED43F9-E5AF-4F17-B963-B3CD6C7E6AD3}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{42ED43F9-E5AF-4F17-B963-B3CD6C7E6AD3}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tak więc jedyne co z poziomu tego systemu mogę wyczyścić to cache DNS i przeglądarek. Oczywiście akcja nie dotyczy innych urządzeń jak telefony. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3998598826-476162460-4090119972-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne. ==================== Dyski ================================ Drive c: () (Fixed) (Total:49.21 GB) (Free:1.7 GB) NTFS Drive d: () (Fixed) (Total:649.33 GB) (Free:91.4 GB) NTFS Istotnie, marnie to wygląda. Nawet jeśli programy instalujesz na innym dysku niż C, masa ustawień programów i tak idzie na C do katalogów Appdata / Programdata i nie da się tego zmienić w prosty sposób. Przykładowy temat w którym o tym mówiłam: KLIK. Do analizy miejsca na dysku skorzystaj z programu SpaceSniffer. Z prawokliku "Uruchom jako Administrator", by obliczył takie sfery jak "System Volume Information" od Przywracania systemu. Analizę wykonaj po użyciu skryptu FRST czyszczącego Tempy, co może zmienić nieco statystyki.

SpyHunter to wątpliwy program, z daleka od tego śmiecia. Jeśli chodzi o problem reklam w Google Chrome, to nie widzę w raporcie nic oczywistego, tylko proxy choć nie wygląda na aktywne. Aczkolwiek zastanowiło mnie poniższe rozszerzenie, nie zostało zainstalowane z Chrome Web Store (a na dysku widać kombinacje z plikami *.crx). Skąd to rozszerzenie było pobieranie? CHR Extension: (__MSG_extName__) - C:\Users\Pawcio\Desktop\YouTube Video Downloader [2015-04-20] Druga sprawa, Twój opis mówi, że komputer był analizowany przez policję, co nasuwa wnioski, że był wpinany w obcą sieć. I to ta sieć mogła działać pod zainfekowanym routerem. Tu są ślady takich akcji, dla jednego z interfejsów sieciowych (nie wygląda na bieżący) poniższy adres IP pobrany z routera jest holenderski: Tcpip\..\Interfaces\{F38D35B3-1007-4AF3-8C5B-80528E104E78}: [DhcpNameServer] 192.168.2.254 195.241.77.55 195.241.77.58 Takie wpinanie w obcą zainfekowaną sieć skutkuje nagraniem w cache DNS i przeglądarki rekordów, które nadal mogą tworzyć przekierowania pomimo wypięcia z tej sieci. Na razie więc zadam czyszczenie tych miejsc oraz drobne inne poprawki na odpadkowe wpisy czy puste skróty. Akcja: 1. Odinstaluj zbędny Akamai NetSession Interface oraz nieszczęsny SpyHunter. W przypadku problemów z deinstalacją SpyHunter skorzystaj z narzędzia SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{F38D35B3-1007-4AF3-8C5B-80528E104E78}: [DhcpNameServer] 192.168.2.254 195.241.77.55 195.241.77.58 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Toolbar: HKU\S-1-5-21-813231136-3034751300-3063813572-1001 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Task: {28CCD7EE-E50D-426D-906D-1F3B263E432C} - System32\Tasks\{A131E369-C11D-4D0A-A8B3-015754C55CB9} => C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Magicka.exe Task: {3D4EBCD5-2326-497F-B732-8CCCE8979E16} - System32\Tasks\{7049C365-1DEC-4D03-9ADF-B5BD1078A707} => C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Magicka.exe Task: {5B8571F1-5D3F-4C14-ACB8-4C127BB740D7} - System32\Tasks\{B004C783-65C7-4804-B6CD-CE4DFF0639C6} => C:\Program Files (x86)\AMPLITUDE Studios\Dungeon of the Endless\DungeonoftheEndless.exe Task: {5DA32748-1081-4FC6-92D0-3EDB0DABD24C} - System32\Tasks\{511A298B-A7E8-4D15-9F6E-8D4946FFAAA2} => C:\Program Files (x86)\AMPLITUDE Studios\Dungeon of the Endless\DungeonoftheEndless.exe Task: {60CD62AF-33C4-4686-8B40-94D3EAA78DB3} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {824BF464-C04B-4897-B184-DA326B3C9DF1} - System32\Tasks\{8521DC72-C63A-4E87-9D34-03C10E758538} => C:\Program Files (x86)\AMPLITUDE Studios\Dungeon of the Endless\DungeonoftheEndless.exe Task: {A34DADE0-6839-4717-8FB9-3E7FD286D57A} - System32\Tasks\{B8F19CEE-4233-444E-B0D7-D50A27BB66F3} => pcalua.exe -a "C:\old pc game\Painkiller Black Edition (E)\Painkiller Black Edition (E)\setup.exe" -d "C:\old pc game\Painkiller Black Edition (E)\Painkiller Black Edition (E)" Task: {F5BF39EB-CF82-419D-9AAD-1A99358347DF} - System32\Tasks\{E6FEF514-5CA7-48F0-8494-1B7DC84AA245} => pcalua.exe -a "E:\MicroSoft Office 2007 With Key by [TORRENTMAFIA.IN]\setup.exe" -d "E:\MicroSoft Office 2007 With Key by [TORRENTMAFIA.IN]" Task: {FEFD471E-C773-4072-A8DC-975347D72F51} - System32\Tasks\{AD38D9DF-0AD2-4F2C-92BD-E0499808A474} => pcalua.exe -a "C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Dependencies\dotnetfx35.exe" -d "C:\Program Files (x86)\Paradox Interactive\Magicka Collection\Dependencies" Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe S4 NVHDA; system32\drivers\nvhda64v.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] S3 xspirit; \??\C:\Windows\xspirit.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface C:\Users\Pawcio\AppData\Local\Avg C:\Users\Pawcio\AppData\Local\AvgSetupLog C:\Program Files\Emsisoft Anti-Malware C:\Program Files (x86)\AVG C:\Program Files (x86)\Malwarebytes Anti-Malware C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Emsisoft C:\ProgramData\Malwarebytes C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acrobat Reader DC.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spore C:\Users\Pawcio\Doctor Web C:\Users\Pawcio\AppData\Local\MFAData C:\Users\Pawcio\AppData\Roaming\installe.exe C:\Users\Pawcio\AppData\Roaming\TuneUp Software C:\Users\Pawcio\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Painkiller.lnk C:\Users\Pawcio\Desktop\G\Bionic Dues.lnk C:\Users\Pawcio\Desktop\G\Command and Conquer - Generals Zero Hour.lnk C:\Users\Pawcio\Desktop\G\Command and Conquer - Generals.lnk C:\Users\Pawcio\Desktop\G\Door Kickers.lnk C:\Users\Pawcio\Desktop\G\Dungeon of the Endless.lnk C:\Users\Pawcio\Desktop\G\Fallout New Vegas.lnk C:\Users\Pawcio\Desktop\G\Shovel Knight.lnk C:\Users\Pawcio\Desktop\G\Spore.lnk C:\Users\Pawcio\Desktop\G\Twierdza Deluxe.lnk C:\Users\Pawcio\Desktop\G\Twierdza Krzyżowiec.lnk C:\Users\Pawcio\Downloads\1SpyHunter 4.21.10.4585 eng-full- x32 bit.rar C:\Users\Pawcio\Downloads\Malwarebytes Patch.zip C:\Users\Pawcio\Downloads\Malwarebytes Patch CMD: ipconfig /flushdns CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

W Firefox jest szkodliwe rozszerzenie Innovate Direct. Prócz tego, zostały też drobne odpadki innych obiektów adware. Akcja do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Toolbar: HKLM - Brak nazwy - {E92E2914-BEEC-4CCA-AB88-C42D6BB55FA9} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {E92E2914-BEEC-4CCA-AB88-C42D6BB55FA9} - Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4AFCEB7B-BED1-4BAE-B99C-6081A0635309} RemoveDirectory: C:\AdwCleaner EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Infekcja definitywnie nabyta z "Asystenta pobierania" dobrychprogramów (na dysku jest plik "Asystenta") podczas pobierania VLC Player: KLIK. Przeprowadź następujące operacje: 1. Odinstaluj McAfee Security Scan Plus, Update for PriceFountain. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4D868DD3-0B7E-4D7F-AF1C-6374C5BF084E} - System32\Tasks\{1802A8E9-D4E2-9194-BFA9-7593C65E5A4F} => C:\Users\User\AppData\Roaming\{1802A~1\Sync.exe [2013-05-02] () Task: {6CE05B20-7C5F-43F9-AF44-CECF33F939A0} - System32\Tasks\UserPreanestheticBikiniV2 => Rundll32.exe ReducersScythe.dll,main 7 1 Task: C:\Windows\Tasks\{1802A8E9-D4E2-9194-BFA9-7593C65E5A4F}.job => C:\Users\User\AppData\Roaming\{1802A~1\Sync.exe S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\User\AppData\Local\PreanestheticBikini RemoveDirectory: C:\Users\User\AppData\Roaming\{1802A8E9-D4E2-9194-BFA9-7593C65E5A4F} C:\Users\User\Downloads\*-dp*.exe Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

EDIT: Nie zauważyłam adnotacji o rozwiązywaniu na innym forum (przy łączeniu postów dopiero wychwyciłam to zdanie). Proszę o link do tematu gdzie to robiono, naniosę poprawki na poniższe instrukcje, bo jestem przekonana że niektóre rzeczy zrobiono inaczej. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj gpedt.msc 1.0. To jest program, który nie działa poprawnie. Nie jest możliwe wprowadzenie gpedit na systemie, który tego nie obsługuje out-of-box: KLIK. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Amazon 1Button App, Google Update Helper (2 pozycje) > Dalej. Narzędzie należy uruchomić trzy razy, nie da się w jednym podejściu usunąć wszystkich wpisów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R2 Amazon 1Button App Service; C:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [436032 2016-02-17] (Amazon Inc.) R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34720 2016-03-14] () S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] S2 AICY46; Brak ImagePath S2 chk32; Brak ImagePath Task: {01789E2F-BE30-4530-B66B-1177684C6470} - System32\Tasks\Nekbygo => C:\PROGRA~1\SHOPPE~1\Itipd.bat Task: {14A1C633-0F11-4698-B7CE-E49995F480E4} - System32\Tasks\Hg0W2csNe => C:\Users\DELL\AppData\Roaming\Hg0W2csNe.exe Task: {19D91052-2ECD-4FEE-A0D5-D921E3CCEEFF} - \AION NF Saturday -> Brak pliku Task: {21547080-4230-4C4D-8027-B6ABA3C23E51} - System32\Tasks\Iwufroh => C:\PROGRA~1\GROOVE~1\Kefdhn.bat Task: {2C79CB1E-8EA6-4D30-ACD4-FC26038E62D2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {37684518-423C-48A1-B31F-A23F1F57D354} - System32\Tasks\TrJTf5Qb7B6SltM => C:\Users\DELL\AppData\Roaming\TrJTf5Qb7B6SltM.exe Task: {3DD5D351-7A8E-4D28-BDED-367D2402295C} - \WordShark Auto Updater 1.10.0.20 Pending Update -> Brak pliku Task: {4A660319-C4A6-4A59-BD96-701812A3C4B7} - System32\Tasks\Hg0W2cs => C:\Users\DELL\AppData\Roaming\Hg0W2cs.exe Task: {4B18B8AD-F8D6-4801-B23D-C684990C9851} - System32\Tasks\{27681D7C-F574-4972-B849-1C47F97A1057} => pcalua.exe -a C:\Users\DELL\Downloads\Installer.exe -d C:\Users\DELL\Downloads Task: {533FA793-BA2C-43FA-AF0E-0F583347F295} - System32\Tasks\ExEoJFeh00jFCxJIlD9FbOC => C:\Users\DELL\AppData\Roaming\ExEoJFeh00jFCxJIlD9FbOC.exe Task: {637B1544-576B-4901-9F53-02C0821A230B} - System32\Tasks\Rtjkj4SMEMC5UR2rPuFQZ7srQP => C:\Users\DELL\AppData\Roaming\Rtjkj4SMEMC5UR2rPuFQZ7srQP.exe Task: {661ADE78-8D50-4896-A503-6129435F9025} - System32\Tasks\{AA36A831-82E2-4167-A685-25076088B338} => pcalua.exe -a C:\Users\DELL\Desktop\gry\H1Z1\Installer.exe -d C:\Users\DELL\Desktop\gry\H1Z1 Task: {6AFF9B95-3805-4A66-89BE-39A958F29100} - \AION NS Sunday -> Brak pliku Task: {7671834D-97F7-4F6D-B21B-B31ABA287B9B} - System32\Tasks\Mighty Installer => C:\Users\DELL\AppData\Roaming\Mighty Installer\Mighty Installer.exe [2016-04-12] () Task: {7CB81EB2-9A0C-4B59-BFAB-C71CEC70ACE4} - System32\Tasks\Sulpurer => C:\PROGRA~1\GROOVE~1\Etiihei.bat Task: {7E2546CF-D018-46B7-B0B7-51B5C25F19AB} - System32\Tasks\{41CCF072-7124-4EF9-A378-23FC966A4A8E} => pcalua.exe -a "C:\Program Files (x86)\MTV20151125\uninstall.exe" -d "C:\Program Files (x86)\MTV20151125" Task: {8529E4A5-CE4B-4740-AFFA-E10E5B4BB22D} - \AION NS Saturday -> Brak pliku Task: {96554119-8548-4373-8F3E-B4543916F06E} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {9D19AD25-752F-421F-9C14-F932681DC183} - \Image Camera -> Brak pliku Task: {A3909F6F-FD4E-446F-8C25-AA32B9AC6D00} - System32\Tasks\Program Service Viewer => C:\Program Files (x86)\Program Service\ProgramService.exe [2015-11-16] (Backup Updater) Task: {AB1A40C2-A59D-445D-AF65-3298C3510FEE} - System32\Tasks\Usługa magazynu 1.0.30 => C:\Users\DELL\AppData\Local\Usugamagazynu\usługa.exe Task: {B70E7BEF-1B16-4936-9172-7F4FAD486F89} - System32\Tasks\{7A206FDB-7A7A-4E5C-BCF3-F3C43904A679} => pcalua.exe -a C:\Users\DELL\AppData\Roaming\Gameo\uninstall.exe Task: {B936A2AD-EAC8-4C80-AEE1-0B3A3FD06BFA} - System32\Tasks\Z44gsFpAErqtP7i364Q => C:\Users\DELL\AppData\Roaming\Z44gsFpAErqtP7i364Q.exe Task: {C1D9B98E-936A-4ECF-A3CA-B0DEDB80F18A} - \WordShark Auto Updater 1.10.0.20 Core -> Brak pliku Task: {D504089D-A0A1-440E-A69D-9F8EF605DC5D} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\Windows\TEMP\DeleteFolderTask.exe Task: {D8D4E7C7-7EB4-48B5-A268-327B996A46B5} - System32\Tasks\{24CC2F1D-70DB-4614-ACDD-5ADC8067B180} => pcalua.exe -a "C:\Users\DELL\Documents\My Games\Nowy folder\sa-mp-0-3x-R1-2-install.exe" -d "C:\Users\DELL\Documents\My Games\Nowy folder" Task: {DEEABE95-B8F8-45FF-8F4C-42E6D0698200} - \Image Camera2 -> Brak pliku Task: {E419F4AB-7896-4937-BB97-142B478E2DF8} - System32\Tasks\Mighty Installer Logon => C:\Users\DELL\AppData\Roaming\Mighty Installer\Mighty Installer.exe [2016-04-12] () Task: {EB4DC13F-4578-4E12-B790-F7C8182FCBDB} - System32\Tasks\InternetSoft Computer Service => C:\Program Files (x86)\InternetSoft Computer\jptask.exe [2016-04-18] () Task: {F9876E87-BE1B-4B73-9732-C587506C81A7} - System32\Tasks\{74BA0D52-DADA-4424-9065-2827648E0A83} => pcalua.exe -a "C:\Users\DELL\Desktop\Nowy folder\Installer.exe" -d "C:\Users\DELL\Desktop\Nowy folder" Task: {FF232E1A-BEE6-459E-B26F-160A12F8BFBE} - \AION NF Sunday -> Brak pliku Task: C:\Windows\Tasks\ExEoJFeh00jFCxJIlD9FbOC.job => C:\Users\DELL\AppData\Roaming\ExEoJFeh00jFCxJIlD9FbOC.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Hg0W2cs.job => C:\Users\DELL\AppData\Roaming\Hg0W2cs.exe Task: C:\Windows\Tasks\Hg0W2csNe.job => C:\Users\DELL\AppData\Roaming\Hg0W2csNe.exe Task: C:\Windows\Tasks\Rtjkj4SMEMC5UR2rPuFQZ7srQP.job => C:\Users\DELL\AppData\Roaming\Rtjkj4SMEMC5UR2rPuFQZ7srQP.exe Task: C:\Windows\Tasks\TrJTf5Qb7B6SltM.job => C:\Users\DELL\AppData\Roaming\TrJTf5Qb7B6SltM.exe Task: C:\Windows\Tasks\Z44gsFpAErqtP7i364Q.job => C:\Users\DELL\AppData\Roaming\Z44gsFpAErqtP7i364Q.exe HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [brak pliku] FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.29.5\npGoogleUpdate3.dll [brak pliku] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\5B40800E9809BDF4D2DE0DF666FF75955B40 [2016-01-09] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853762107109&GUID=7C736AC7-205D-4901-9346-B076B847800A HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853762111631&GUID=7C736AC7-205D-4901-9346-B076B847800A HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1053583817-2471753782-14959594-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131025853764757480&GUID=7C736AC7-205D-4901-9346-B076B847800A SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=24c66708a94aeb404746fc08608c6d1b&c=p1&src=srch&inst=1461240325 SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {20B9D1AE-AD1A-38B4-87FE-AF278DA9861D} URL = hxxps://search.protectedio.com/search.php/?q={searchTerms}&u=24c66708a94aeb404746fc08608c6d1b&c=p1&src=srch&inst=1461240325 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" IE trusted site: HKU\S-1-5-21-1053583817-2471753782-14959594-1004\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-1053583817-2471753782-14959594-1004\...\webcompanion.com -> hxxp://webcompanion.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v cpuminer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v gpuminer /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files\Common Files\*.exe C:\Program Files (x86)\Amazon C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\Program Service C:\ProgramData\webad.xml C:\Users\DELL\AppData\Local\Google C:\Users\DELL\AppData\Roaming\atb C:\Users\DELL\AppData\Roaming\Mighty Installer C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽäŻŔŔ.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Action!.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Counter-Strike Global Offensive Warzone.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\FaceRig.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\GIANTS Engine 6.0 (2).lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\gta_sa.lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk C:\Users\DELL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Terraria.lnk C:\Users\DELL\Desktop\Biuro Rachunkowe Rzeczpospolitej.lnk C:\Users\DELL\Desktop\gry\Euro Truck Simulator 2 (x64).lnk C:\Users\DELL\Desktop\gry\Firewatch.lnk C:\Users\DELL\Desktop\gry\Professional Farmer 2017.lnk C:\Users\DELL\Desktop\gry\RigNRoll.lnk C:\Users\DELL\Desktop\gry\Saints Row The Third.lnk C:\Users\DELL\Desktop\gry\Update Garrys Mod.lnk C:\Users\DELL\Desktop\gry\World of Tanks.lnk C:\Users\Ewelina\AppData\Local\Google C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ĂŔÍĽäŻŔŔ.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Ewelina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Ewelina\AppData\Roaming\GiftBag.db C:\Users\Ewelina\Desktop\Biuro Rachunkowe Rzeczpospolitej.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta: ==================== Konta użytkowników: ============================= DELL (S-1-5-21-1053583817-2471753782-14959594-1001 - Administrator - Enabled) => C:\Users\DELL Ewelina (S-1-5-21-1053583817-2471753782-14959594-1004 - Administrator - Enabled) => C:\Users\Ewelina Zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie Wyloguj czy Przełącz użytkownika. Na każdym zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym polem Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Posty posklejałam doprowadzając całość do oczekiwanej początkowo formy. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj wątpliwy skaner SpyHunter 4 oraz niepożądany program WinZip udający prawdziwy WinZip. Jeśli będzie jakiś problem z deinstalacją SpyHunter, zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1425676910&from=wnf&uid=WDCXWD3200AVVS-73L2B0_WD-WCAV1373858538585","hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=FF7BB33FD1ABCECA6A21802F55D6E89C&v=20160329&ts=AHEpCHMtBX0pBE..","hxxp://www.google.pl/" CHR HKU\S-1-5-21-3554043997-3257010474-766506353-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3554043997-3257010474-766506353-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-3554043997-3257010474-766506353-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> BootExecute: autocheck autochk * bootdelete S0 hitmanpro37duringboot; system32\drivers\hitmanpro37.sys [X] S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X] S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X] Task: {53A04990-5FBD-4627-B2C6-C72D629CC33C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {67681B65-8DB8-43F6-96F6-A8511AF951DB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {6B48781A-6F22-4928-878E-B95634AC6005} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {6BE3DA85-0770-49BC-BB9C-B2429B970D93} - \WinTaske -> Brak pliku <==== UWAGA Task: {6C4426DE-4D73-4FF6-BD7F-2150E9F5E5F6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {C7EE9CEE-5C92-4AD4-AADF-4DB6107079ED} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {C89432D8-735C-4B07-A10A-CA784C72CB91} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {CA96C24B-E2E5-458D-ACC4-AB256F22F23D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {CC87C4A6-9240-4AD6-9CE2-E08A616AB924} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {D528D199-9809-48BA-A6C3-FD1227D5F524} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Arek\AppData\Roaming\GiftBag.db C:\Users\Arek\Downloads\SpyHunter-Installer.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy C:\Users\Public\Documents\dmp C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skrypt FRST odblokuje ustawienia Google Chrome, więc wyczyść ogólnie przeglądarkę: Zresetuj synchronizację (o ile włączona), punkt 2: Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Rozszerzenia > odinstaluj podejrzane rozszerzenie Video AdBlock for Chrome (wprowadzone przez zewnętrzny instalator), o ile nadal będzie widoczne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak, instalator AllPlayer to znany dystrybutor sponsorów typu GazetaPL. A o HijackThis zapomnij. To jest stary 32-bitowy program niepoprawnie zachowujący się na systemie 64-bit (pokazuje bzdury i fałszywe "braki", a ich naprawa grozi uszkodzeniami systemu). Poza tym, ten wpis który przedstawiłeś to modyfikacja w Internet Explorer. HijackThis nie skanuje wcale przeglądarek Firefox i Google Chrome, a to w nich są modyfikacje: FireFox: ======== FF Homepage: hxxp://www.gazeta.pl/0,0.html?p=189 Chrome: ======= CHR StartupUrls: Profile 2 -> "hxxp://www.gazeta.pl/0,0.html?p=189" Akcja: 1. W Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Ustawienia > Opcje > Po uruchomieniu programu Firefox > w sekcji Strona startowa wymaż adres gazeta.pl zastępując czymś innym. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres gazeta.pl, przestaw na "Otwórz stronę nowej karty" 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Adware PriceFountain nabyłeś przypuszczalnie przy udziale "Asystenta pobierania" dobrychprogramów (w systemie pośrednie ślady jego używania): KLIK. Ale w systemie o wiele więcej odpadków adware, niż tylko wyliczany problem. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Adware: BitGuard, LiveVDO, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentControl_v2 Toolbar, VirtualDub Packages. Stare niebezpieczne (luki!) i zbędne programy: Adobe AIR, Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 9.5.5 - Polish, Gadu-Gadu 7.7, Gadu-Gadu 10, GG Tools, Java 7 Update 11, JavaFX 2.1.0, McAfee Security Scan Plus, Norton Internet Security, Norton Online Backup, Real Alternative 2.0.2, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwa ostatnie to odpadki po odinstalowanym AVG). Wpisy adware są w większości odpadkami. Jeśli któregoś nie będzie widać lub deinstalacja zwróci błąd, kontynuuj. Zajmę się nimi potem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64; C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys [48784 2014-12-29] (StdLib) S3 CrystalSysInfo; \??\D:\Program Files (x86)\MediaCoder\SysInfoX64.sys [X] S1 wfdrvr_vt_1_10_0_25; system32\drivers\wfdrvr_vt_1_10_0_25.sys [X] Task: {034FC438-375D-4E70-99C9-93BF59693BE8} - System32\Tasks\{C6AB5B57-A79F-4E9A-B358-005D0847E5B8} => Chrome.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {03A5CD7D-538B-4FB5-B2B1-9D0258CDE1B7} - System32\Tasks\DorotaNonspecificFragmentedV2 => Rundll32.exe GlobalistsVandals.dll,main 7 1 Task: {68DBA077-6D76-465E-A0FE-DD4DDBD46EEB} - System32\Tasks\Odkurzacz => C:\Program Files (x86)\Odkurzacz\odkurzacz.exe Task: {7B7F90E4-FF34-4F1B-9544-CD988C79422B} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe Task: {A54BC252-60F0-47A7-A987-86EA52C41D72} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {C873C96C-89A0-4900-A860-ADA65A1C9694} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {CE4FFE68-873F-4414-817A-74085B999D28} - Brak ścieżki do pliku Task: {E89CC18F-0781-4F4E-B360-EDBC80933A21} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\NexonUp.vbs [2015-09-27] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csNBe8YCEujMDfpEJP4EyJ6_Ay2Rg4OmXux9oG2NXO8Nbcz0ZFHRKQeU2C-PX5W38YGuHDeSLpdwv89a-1YFkXJxJnZdJdktNTJUnWYBrl0dytWsG8w45OSqQfI6oCRYokrOxN7LBjy1jA,, CHR StartupUrls: Default -> "hxxps://www.google.pl/search?q=google&aq=f&oq=go&aqs=chrome.3.60l3j59l2j57.3141j0&sourceid=chrome&ie=UTF-8#hl=pl&gs_rn=12&gs_ri=psy-ab&pq=google&cp=6&gs_id=18&xhr=t&q=menostop&es_nrs=true&pf=p&sclient=psy-ab&oq=menost&gs_l=&pbx=1&bav=on.2,or.r_qf.&bvm=bv.46340616,d.Yms&fp=ca266102337a30ad&biw=796&bih=596","","hxxp://www.yessearches.com/?mode=nnnb&ptid=ior&uid=4E6152729E4773FFDA4987D6C6989BB8&v=20160108&ts=AHEpAnUoBHAkAk.." HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.buenosearch.com/?babsrc=HP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-3099691929-597136357-677967994-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 - (Brak nazwy) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {15431241-F15B-43FE-B204-ED85884C491B} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?src=sp&aff=51&cf=0e282bf6-47c2-11e2-8f12-b803051c257c&q={searchTerms} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.buenosearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=169CB803051C2579&affID=128491&tsp=5162 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {139DD132-0CCB-4F7B-AD1D-0EA93F8C0329} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={8AB90565-6719-11E2-AD3B-B803051C257C} SearchScopes: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: High Stairs -> {45e60e41-85ee-4c01-9dac-1ecb9bf64179} -> C:\Program Files (x86)\High Stairs\Extensions\45e60e41-85ee-4c01-9dac-1ecb9bf64179.dll => Brak pliku BHO-x32: Brak nazwy -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> Brak pliku BHO-x32: Brak nazwy -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> Brak pliku Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - Brak pliku Toolbar: HKU\S-1-5-21-3099691929-597136357-677967994-1001 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1419888650&from=cor&uid=SAMSUNGXHN-M101MBB_S2R8J9FBA14001 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{38216570-5DB1-45F8-A344-B0C4E252B14B}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.26.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3099691929-597136357-677967994-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Dorota\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files (x86)\AVG C:\Program Files (x86)\LiveVDO plugin C:\Program Files (x86)\SearchesToYesbnd C:\ProgramData\Avg C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 v48 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Odkurzacz C:\Users\Default\AppData\Local\AVG C:\Users\Default\AppData\Roaming\AVG C:\Users\Dorota\AppData\Local\{3339D366-4C3A-4ABA-A74E-C415D6A5CAD4} C:\Users\Dorota\AppData\Local\AvgSetupLog C:\Users\Dorota\AppData\Local\Conduit C:\Users\Dorota\AppData\Local\CRE C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Users\Dorota\AppData\Local\NonspecificFragmented C:\Users\Dorota\AppData\Roaming\msnsvconfig.txt C:\Users\Dorota\AppData\Roaming\AVG C:\Users\Dorota\AppData\Roaming\WarThunder C:\Users\Dorota\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Dorota\Desktop\Continue Apache OpenOffice installation.lnk C:\Users\Dorota\Desktop\Odkurzacz.lnk C:\Users\Dorota\Desktop\Play Games Online.url C:\Users\Dorota\Downloads\sh-remover.exe C:\Users\Public\Desktop\avast! Internet Security.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{f29e81af-9943-4f9f-9bf8-64524ebe0b41}w64.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj LiveVDO.tv plugin, o ile nadal będzie widoczny po w/w deinstalacji. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware High Stairs 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition. Dołącz też plik fixlog.txt.

W raportach FRST widać tylko wpis sponsorowanego Binga w starcie, co raczej nie wiąże się z problemem. Wspominasz wyraźnie, że przekierowania się pojawiły "po skorzystaniu z sieci hotelowej". To wskazuje na infekcję routera tamtej sieci, a pomimo wypięcia się z niej efekt może być nadal widczny u Ciebie ze względu na zapamiętane rekordy w cache bufora DNS i/lub cache przeglądarki. Czyli zadam czyszczenie tych miejsc + inne pomniejsze korekty. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3377222215-263577021-991360115-1001\...\Run: [bingSvc] => C:\Users\Marek\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-01-16] (© 2015 Microsoft Corporation) HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,c:\program files\soluto\soluto.exe /userinit, SearchScopes: HKU\S-1-5-21-3377222215-263577021-991360115-1001 -> {AD627D66-48D3-45B5-B45D-AAED37AAE370} URL = S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 iscFlash; \??\C:\Users\Administrator\AppData\Local\Temp\7zS211A.tmp\iscflashx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Temp C:\Users\Marek\AppData\Local\Microsoft\BingSvc Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Wspominasz o "aktualizacji Javy" - to nie ma związku z problemem. Tytułowy problem jest wynikiem instalacji adware, np. z "Asystenta pobierania" dobrychprogramów: KLIK. A DelFix jest narzędziem do usuwania używanych skanerów, a nie do rozwiązywania innych problemów. Jego użycie jest wskazywane dopiero po poprawnym i zweryfikowanym wyczyszczeniu systemu. Działania do przeprowadzenia: 1. Odinstaluj YAC(Yet Another Cleaner!). To wątpliwy program: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HomePage: Default -> hxxp://www.nicesearches.com?type=hp&ts=1459846260&from=58740405&uid=wdcxwd10ezex-22rkka0_wd-wcc1s249983699836&z=6c86049ed42eb39004cd8c1g4zawdtdb6z4q8o2w7b CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1459846260&from=58740405&uid=wdcxwd10ezex-22rkka0_wd-wcc1s249983699836&z=6c86049ed42eb39004cd8c1g4zawdtdb6z4q8o2w7b" CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i6vduz1i.default-1446115981659\extensions\arthurj8283@gmail.com FF Extension: xRocket Toolbar - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\i6vduz1i.default-1446115981659\Extensions\arthurj8283@gmail.com [2016-04-05] [brak podpisu cyfrowego] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1950264698-4186879998-1248757431-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-1950264698-4186879998-1248757431-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg. R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-31] (IObit) Task: {3E2AE9E0-119D-49C2-9D79-70C94023F72E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {435AAFD0-7E55-4250-B309-99B11CCF2EEA} - System32\Tasks\{CB041C3D-EFDA-4699-B324-A960417F211C} => pcalua.exe -a C:\Users\Marcin\Downloads\WVC54GCA-CD-Content-10-25-2007_SetupWiz\SetupWizard.exe -d C:\Users\Marcin\Downloads\WVC54GCA-CD-Content-10-25-2007_SetupWiz Task: {7819D3A5-3703-4BF6-88EB-2DDE4F8B6F79} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {7C1FE088-DF43-4C23-A3B0-8BC34E5986E6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {856B8D27-03C3-47ED-AA32-3A93DCC924ED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {87BAA61B-5BCD-473E-962A-69CED1142C98} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {9A5772C3-EBF1-469D-99E0-A741E60A8C0A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A3C89676-1FDE-497E-BF5A-0D00F8619AD3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {AA1C184A-AEF9-4CF5-A5FD-667502AE52B6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {C2094B5C-D1C4-4755-8173-A1331070A17F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {C8C926BA-28F4-4B95-BF04-CA97F13A9286} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D13C8137-7427-43AC-B53D-1CB822F375DD} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {D7C5AC68-CC90-4783-9585-FC7CC67D14BA} - \Browser Updater Task(Core) -> Brak pliku FirewallRules: [TCP Query User{2913C8E5-3E66-4CAD-9591-B38AB142C88B}C:\program files\ispy\ispy (64 bit)\ispy.exe] => (Allow) C:\program files\ispy\ispy (64 bit)\ispy.exe FirewallRules: [uDP Query User{C07AE18B-3BFE-40F6-A45B-4A07D85923C0}C:\program files\ispy\ispy (64 bit)\ispy.exe] => (Allow) C:\program files\ispy\ispy (64 bit)\ispy.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Google+ Auto Backup" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f C:\Program Files (x86)\GUM2E7E.tmp C:\Program Files (x86)\IObit C:\ProgramData\2winp2 C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\Marcin\Documents\Detektor Winampa\Odinstaluj Detektor Winampa.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ALL Media Server.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ALL YouTube Downloader.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ALLConverter PRO.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Bezpieczne pieniądze.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Brother Creative Center.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DivX Movies.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DivX Plus Converter.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DivX Plus Player.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\DriverScanner.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Drop EPS here PNG out.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\ED.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\EPSON Scan.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Google Earth.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Handlowiec iBiznes.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Kaspersky PURE 3.0.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Nikon Transfer.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\PDFArchitect.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\PITy 2009.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\PlayMemories Home.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Samsung Kies (Lite).lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\Samsung Update Plus.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\User Guide.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\WF-Mag dla Windows.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\YouTube to ALLPlayer.lnk C:\Users\Marcin\Documents\Z PULPITU\SKRÓTY\YTD Video Downloader.lnk C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Skrypt FRST odblokuje Google Chrome, więc wyczyść konkretnie przeglądarkę: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.