Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

filutka78

Forumowicze
 Pokaż profil  Zobacz aktywność

  • Liczba zawartości

    18069

  • Rejestracja

  • Ostatnia wizyta

Odpowiedzi dodane przez filutka78

  1. Napisano · Edytowane przez filutka78

    -->>@sebek71

     

    Otwórz Notatnik i wklej w nim:

    Task: {82CD1D72-3260-4F06-8354-BC5D9E1EB5D6} - System32\Tasks\sebas_000 => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v sebas_000 /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-1293249880-4006811334-3212467997-1006\...\Run: [sebas_000] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    Tcpip\..\Interfaces\{d06106f0-f962-4478-9402-9ee47c3faffa}: [DhcpNameServer] 169.254.94.224

    2018-01-30 11:45 - 2018-01-30 11:50 - 000000140 _____ C:\WINDOWS\Reimage.ini

    2018-01-30 11:45 - 2018-01-30 11:45 - 000605424 _____ (Reimage) C:\Users\sebas_000\Downloads\ReimageRepair.exe

    Task: {33EFED4A-98E3-489E-B786-B4985C8FAAB0} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA

    Task: {5133FEFB-F3BA-45AD-ACC0-36D2C97A8A39} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA

    Task: {53E25060-EC3F-43F4-BD85-61A3422A1F5B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA

    Task: {6407DA11-78D8-448F-A3C4-29B16B109886} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA

    Task: {73A7C12A-16C8-4B96-AD54-1EFD5594D03B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA

    Task: {E11418ED-A202-43D8-8DCE-611738331339} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA

    HKLM\...\StartupApproved\Run32: => "niudodo"

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    F.

  2. Napisano · Edytowane przez filutka78

    -->>@michas94

     

    Otwórz Notatnik i wklej w nim:

    Task: {33FC4185-877B-4BB6-B240-B9451349E3AE} - System32\Tasks\micha => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v micha /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== ATTENTION

    HKU\S-1-5-21-2638829337-3654156464-1861950424-1001\...\Run: [micha] => explorer.exe hxxp://ozirizsoos.info <==== ATTENTION

    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dmontlsfs_17_49&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0CzzyD0ByByC0FyDzz0EyCzyzytC0E0CtN0D0Tzu0StBtCyCzztN1L2XzuyEtFtBtDtFtDtFyDyBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyE0F0F0CtDtB0EyDtGyC0DtDzztGtC0FyDtBtGyDtCyE0CtG0B0F0FyByCzytA0Bzy0F0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RyBzzyDyC1TyCtCtGtDyE1StBtGyE1O1P1TtGzyzytCtCtGtCyDyEyDzztA1R1RyEyCyC1P2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyDtBtAyCtN1Q2Z1B1P1RzutCyDtCtByBtAzzzzzzyB%26cr%3D1211321104%26a%3Dwbf_dmontlsfs_17_49%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dmontlsfs_17_49&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0CzzyD0ByByC0FyDzz0EyCzyzytC0E0CtN0D0Tzu0StBtCyCzztN1L2XzuyEtFtBtDtFtDtFyDyBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyE0F0F0CtDtB0EyDtGyC0DtDzztGtC0FyDtBtGyDtCyE0CtG0B0F0FyByCzytA0Bzy0F0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RyBzzyDyC1TyCtCtGtDyE1StBtGyE1O1P1TtGzyzytCtCtGtCyDyEyDzztA1R1RyEyCyC1P2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyDtBtAyCtN1Q2Z1B1P1RzutCyDtCtByBtAzzzzzzyB%26cr%3D1211321104%26a%3Dwbf_dmontlsfs_17_49%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome

    SearchScopes: HKLM -> DefaultScope {A358064E-501D-4722-90E9-D985DA1A2C30} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dmontlsfs_17_49&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0CzzyD0ByByC0FyDzz0EyCzyzytC0E0CtN0D0Tzu0StBtCyCzztN1L2XzuyEtFtBtDtFtDtFyDyBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyE0F0F0CtDtB0EyDtGyC0DtDzztGtC0FyDtBtGyDtCyE0CtG0B0F0FyByCzytA0Bzy0F0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RyBzzyDyC1TyCtCtGtDyE1StBtGyE1O1P1TtGzyzytCtCtGtCyDyEyDzztA1R1RyEyCyC1P2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyDtBtAyCtN1Q2Z1B1P1RzutCyDtCtByBtAzzzzzzyB%26cr%3D1211321104%26a%3Dwbf_dmontlsfs_17_49%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}

    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

    SearchScopes: HKLM -> {A358064E-501D-4722-90E9-D985DA1A2C30} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dmontlsfs_17_49&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0CzzyD0ByByC0FyDzz0EyCzyzytC0E0CtN0D0Tzu0StBtCyCzztN1L2XzuyEtFtBtDtFtDtFyDyBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyE0F0F0CtDtB0EyDtGyC0DtDzztGtC0FyDtBtGyDtCyE0CtG0B0F0FyByCzytA0Bzy0F0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RyBzzyDyC1TyCtCtGtDyE1StBtGyE1O1P1TtGzyzytCtCtGtCyDyEyDzztA1R1RyEyCyC1P2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyDtBtAyCtN1Q2Z1B1P1RzutCyDtCtByBtAzzzzzzyB%26cr%3D1211321104%26a%3Dwbf_dmontlsfs_17_49%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}

    SearchScopes: HKLM-x32 -> DefaultScope {A358064E-501D-4722-90E9-D985DA1A2C30} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dmontlsfs_17_49&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0CzzyD0ByByC0FyDzz0EyCzyzytC0E0CtN0D0Tzu0StBtCyCzztN1L2XzuyEtFtBtDtFtDtFyDyBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyE0F0F0CtDtB0EyDtGyC0DtDzztGtC0FyDtBtGyDtCyE0CtG0B0F0FyByCzytA0Bzy0F0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RyBzzyDyC1TyCtCtGtDyE1StBtGyE1O1P1TtGzyzytCtCtGtCyDyEyDzztA1R1RyEyCyC1P2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyDtBtAyCtN1Q2Z1B1P1RzutCyDtCtByBtAzzzzzzyB%26cr%3D1211321104%26a%3Dwbf_dmontlsfs_17_49%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}

    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

    SearchScopes: HKLM-x32 -> {A358064E-501D-4722-90E9-D985DA1A2C30} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dmontlsfs_17_49&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0CzzyD0ByByC0FyDzz0EyCzyzytC0E0CtN0D0Tzu0StBtCyCzztN1L2XzuyEtFtBtDtFtDtFyDyBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyE0F0F0CtDtB0EyDtGyC0DtDzztGtC0FyDtBtGyDtCyE0CtG0B0F0FyByCzytA0Bzy0F0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RyBzzyDyC1TyCtCtGtDyE1StBtGyE1O1P1TtGzyzytCtCtGtCyDyEyDzztA1R1RyEyCyC1P2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyDtBtAyCtN1Q2Z1B1P1RzutCyDtCtByBtAzzzzzzyB%26cr%3D1211321104%26a%3Dwbf_dmontlsfs_17_49%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}

    SearchScopes: HKU\S-1-5-21-2638829337-3654156464-1861950424-1001 -> {0CE02FFA-A6B0-46F6-BA2F-BD32C3630126} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_dmontlsfs_17_49&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1Qzu0CzzyD0ByByC0FyDzz0EyCzyzytC0E0CtN0D0Tzu0StBtCyCzztN1L2XzuyEtFtBtDtFtDtFyDyBtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyE0F0F0CtDtB0EyDtGyC0DtDzztGtC0FyDtBtGyDtCyE0CtG0B0F0FyByCzytA0Bzy0F0DyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S1RyBzzyDyC1TyCtCtGtDyE1StBtGyE1O1P1TtGzyzytCtCtGtCyDyEyDzztA1R1RyEyCyC1P2QtN0A0LzuyEtN1B2Z1V1T1S1NzutCyDtBtAyCtN1Q2Z1B1P1RzutCyDtCtByBtAzzzzzzyB%26cr%3D1211321104%26a%3Dwbf_dmontlsfs_17_49%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}

    CHR DefaultSearchURL: Default -> hxxp://securedsearch.xyz/{searchTerms}

    CHR DefaultSearchKeyword: Default -> sse

    CHR DefaultSuggestURL: Default -> hxxp://securedsearch.xyz/?s={searchTerms}

    CHR Extension: (Search Manager) - C:\Users\micha\AppData\Local\Google\Chrome\User Data\Default\Extensions\nahhmpbckpgdidfnmfkfgiflpjijilce [2018-01-29]

    CHR Extension: (Search Manager) - C:\Users\micha\AppData\Local\Google\Chrome\User Data\Default\Extensions\pilplloabdedfmialnfchjomjmpjcoej [2018-01-29]

    CHR HKLM\...\Chrome\Extension: [pilplloabdedfmialnfchjomjmpjcoej] - hxxps://clients2.google.com/service/update2/crx

    CHR HKU\S-1-5-21-2638829337-3654156464-1861950424-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pilplloabdedfmialnfchjomjmpjcoej] - hxxps://clients2.google.com/service/update2/crx

    CHR HKLM\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] - hxxps://clients2.google.com/service/update2/crx

    CHR HKU\S-1-5-21-2638829337-3654156464-1861950424-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] - hxxps://clients2.google.com/service/update2/crx

    CHR HKLM-x32\...\Chrome\Extension: [nahhmpbckpgdidfnmfkfgiflpjijilce] - hxxps://clients2.google.com/service/update2/crx

    CHR HKLM-x32\...\Chrome\Extension: [pilplloabdedfmialnfchjomjmpjcoej] - hxxps://clients2.google.com/service/update2/crx

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\micha\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    F.

  6. Napisano · Edytowane przez filutka78

    -->>@gogiel1979

     

    Otwórz Notatnik i wklej w nim:

    Task: {06D779BF-C093-44BF-B579-4C43E2163A63} - System32\Tasks\marci => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v marci /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-3889582389-2171520168-3667835132-1001\...\Run: [marci] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    S2 ApogeeIO; System32\Drivers\apogeeio.sys [X]

    S2 MaxImIO; System32\Drivers\maximio.sys [X]

    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku

    HKLM-x32\...\Run: [] => [X]

    2017-12-30 20:12 - 2017-12-30 20:12 - 000000000 ____D C:\Program Files\Common Files\Avast Software

    2017-12-30 20:07 - 2018-01-12 17:33 - 000000000 ____D C:\ProgramData\AVAST Software

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\marci\AppData\Local\Temp\scoped_dir752_19371

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Java 6 Update 26

    Ta Java jest dzurawa!

    Uaktualnij do wersji JRE 8u152, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry179769

     

    Napisz, czy problem znikł?

     

    F.

  7. Napisano · Edytowane przez filutka78

    -->>@Gregorivs

     

     

    1) SpyHunter4 - nie jest zaufanym programem.

    spróbuj odinstalować w ten sposób:

    kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>SpyHunter>>Uninstall)

    wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje.

     

    2) Otwórz Notatnik i wklej w nim:

    Task: {A445CDA7-0016-4BDB-9E2B-787C8BDA4C8B} - System32\Tasks\grzeg => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v grzeg /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-3784604191-3319786136-1410082676-1001\...\Run: [grzeg] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA

    S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [22704 2016-10-15] ()

    S2 SpyHunter 4 Service; C:\Program Files\SpyHunter\SH4Service.exe [665768 2016-11-15] (Enigma Software Group USA, LLC.)

    BootExecute: autocheck autochk * sh4native Sh4Removal

    GroupPolicy\User: Ograniczenia <==== UWAGA

    RemoveDirectory: C:\Program Files\SpyHunter

    RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4

    2018-01-28 14:44 - 2018-01-28 14:50 - 000000000 ___HD C:\jKFLFRls8otbkqEt

    2018-01-28 14:50 - 2016-11-15 17:54 - 000025768 _____ C:\WINDOWS\SysWOW64\sh4native.exe

    2018-01-28 13:53 - 2018-01-28 15:13 - 000002514 _____ C:\WINDOWS\System32\Tasks\SpyHunter4Startup

    2018-01-28 13:52 - 2018-01-28 14:50 - 000131918 _____ C:\spyhunter.fix

    2018-01-28 13:52 - 2018-01-28 14:35 - 000000000 ___HD C:\lLf9BnMHXodzYC32

    C:\Users\Public\Desktop\SpyHunter4.lnk

    Task: {D208CAA9-5F53-448D-A027-EA5E8257E089} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe [2016-11-15] (The Hidden 2000 - AoRE)

    ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> Brak pliku

    Task: {F90C646C-4E0F-440A-97A7-15F78E54C124} - \AVAST Software\Avast settings backup -> Brak pliku <==== UWAGA

    Task: C:\WINDOWS\Tasks\WinThruster.job => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== UWAGA

    Task: C:\WINDOWS\Tasks\WinThruster64-grzeg-Startup.job => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe <==== UWAGA

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\grzeg\Downloads\Programs

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    3) Napisz, czy problem znikł?

     

    F.

  8. Napisano · Edytowane przez filutka78

    -->>@Elvivalarte

     

    Otwórz Notatnik i wklej w nim:

    Task: C:\WINDOWS\Tasks\rundll.job => rundll32.exe C:\ProgramData\Bonanza\Bonanza.dll

    RemoveDirectory: C:\ProgramData\Bonanza

    GroupPolicy: Ograniczenia <==== UWAGA

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Blokady już nie ma, więc powinno już być OK.

     

    F.

  9. Napisano · Edytowane przez filutka78

    -->>@Elvivalarte

     

    Otwórz Notatnik i wklej w nim:

    Task: {517C6E50-A4CA-46EF-9352-BDFD52FB7ADE} - System32\Tasks\rundll => C:\Windows\system32\rundll32.exe "C:\ProgramData\Bonanza\Bonanza.dll",akfq

    RemoveDirectory: C:\ProgramData\Bonanza

    HOSTS:

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Zrób nowe logi, i podaj oba logi, tzn FRST.txt i Addition.txt.

     

    --------------------------

     

    FIFA18 version 1.0 (HKLM\...\FIFA18_is1) (Version: 1.0 - STEAMPUNKS) <==== UWAGA

    FRST wykrywa ten program jako zarażony.

     

    F.

  10. Napisano · Edytowane przez filutka78

    -->>@Elvivalarte

     

    1) Spróbuj odinstalować ten program:

    Browser-Security (HKLM-x32\...\Browser-Security) (Version: 1.2.0.0 - Vondos Media GmbH) <==== UWAGA

     

    2) Otwórz Notatnik i wklej w nim:

    Task: {27CB9E57-3AF1-4308-9F1B-AFEEC217504D} - System32\Tasks\Elvivalarte => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Elvivalarte /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-1153392514-2715823387-2640037019-1001\...\Run: [Elvivalarte] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== UWAGA

    HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== UWAGA

    HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== UWAGA

    HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== UWAGA

    HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== UWAGA

    HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== UWAGA

    HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== UWAGA

    HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== UWAGA

    HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== UWAGA

    HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== UWAGA

    HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== UWAGA

    HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== UWAGA

    HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== UWAGA

    HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== UWAGA

    HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== UWAGA

    HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== UWAGA

    HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== UWAGA

    HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== UWAGA

    HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== UWAGA

    HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== UWAGA

    HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== UWAGA

    HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== UWAGA

    HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== UWAGA

    HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== UWAGA

    HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== UWAGA

    HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== UWAGA

    HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== UWAGA

    HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== UWAGA

    HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== UWAGA

    HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== UWAGA

    HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== UWAGA

    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== UWAGA

    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== UWAGA

    HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== UWAGA

    HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== UWAGA

    HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== UWAGA

    HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== UWAGA

    HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== UWAGA

    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== UWAGA

    HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== UWAGA

    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== UWAGA

    HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== UWAGA

    HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== UWAGA

    HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== UWAGA

    HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== UWAGA

    HKU\S-1-5-21-1153392514-2715823387-2640037019-1001\...\Run: [safe_urls768] => C:\Users\Elvivalarte\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-07-08] ()

    RemoveDirectory: C:\Users\Elvivalarte\AppData\Roaming\Browser-Security

    RemoveDirectory: C:\ProgramData\Bonanza

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    3) Zrób nowe logi FRST - masz zablokowane wszystkie programy ochronne, a ja nie widzę tu takiej infekcji, która mogłaby je wszystkie zablokować. Zobaczymy, czy blokada zniknie po usuwaniu.

     

    F.

  11. Napisano · Edytowane przez filutka78

    -->>@Tosiu79

     

    Otwórz Notatnik i wklej w nim:

    Task: {AF122ED4-D672-4ADE-BC2A-F33D8FD2CCAE} - System32\Tasks\Krzysztof => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Krzysztof /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-3054203916-2689836553-2032183560-1000\...\Run: [Krzysztof] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]

    S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

    S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

    S3 VGPU; System32\drivers\rdvgkmd.sys [X]

    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

    Toolbar: HKU\S-1-5-21-3054203916-2689836553-2032183560-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku

    ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku

    ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku

    ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku

    ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku

    ContextMenuHandlers1-x32: [shellConverter] -> {30A4E07E-068A-4d91-8F05-691283A1336B} => -> Brak pliku

    ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku

    Task: {6EC0CC0B-A3A2-4B38-B669-C0502028F2A1} - System32\Tasks\{1DF6F419-3028-4162-AC29-B5496CA3CA0D} => C:\Windows\system32\pcalua.exe -a H:\CDSETUP.EXE -d H:\

    Task: {BADC6D9B-E560-4692-9B3C-352A390E9E90} - \Java Update Registration -> Brak pliku <==== UWAGA

    Task: {CBD64A21-4D17-427A-B1E7-7AE7758AE72F} - System32\Tasks\{B1079254-2B48-4C31-8526-EC554243B1E4} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Movie Maker 6\Uninstall.exe"

    Task: {EBA31E2B-4A9B-4FCA-A17F-EFAD3B7854B8} - System32\Tasks\{1B9F8EBD-ACC5-4881-915C-E7EC055C36C3} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{FEC7CD2E-2BB5-40C3-9592-078F64677E6C}\setup.exe" -c -runfromtemp -l0x0009 -removeonly

    ShortcutWithArgument: C:\Users\Krzysztof\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_pjkljhegncpnkpknbcohdijeoejaedia\Gmail.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=pjkljhegncpnkpknbcohdijeoejaedia

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Krzysztof\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    F.

  12. Napisano · Edytowane przez filutka78

    -->>@Lajkon

     

    "HKU\S-1-5-21-1071736017-1932688384-3425510773-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Micha" => nie znaleziono

    nie dało się usunąć, bo Notatnik nie rozpoznał literki "ł".

     

    twórz Notatnik i wklej w nim:

    Task: {0E13C164-5A15-4C91-B908-6B90B9DA4570} - System32\Tasks\Michał => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Michał /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-1071736017-1932688384-3425510773-1002\...\Run: [Michał] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    C:\Users\Michał\Desktop\Nowy folder\(64х)Farming Simulator 17.lnk

    C:\Users\Michał\Desktop\Nowy folder\(32х)Farming Simulator 17.lnk

    C:\Users\Michał\Desktop\Nowy folder\Редактор Car Mechanic Simulator 2018.lnk

    Task: {C0721F55-25D1-461D-BD38-EB575E52858C} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA

    C:\Users\Michał\AppData\Roaming\1de0de73-de3e-46c6-81b0-f6455f081644

    EmptyTemp:

    >>Menu Notatnika >> Plik >>

    >>Zapisz jako >>

    Nazwa pliku: fixlist

    Zapisz jako typ: Dokumenty tekstowe

    Kodowanie: UTF -8

    >>Zapisz

    Plik umieść w folderze C:\Users\Michał\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, jaka sytuacja po tym usuwaniu?

     

    F.

  13. Napisano · Edytowane przez filutka78

    -->>@Lajkon

     

    Otwórz Notatnik i wklej w nim:

    Task: {0E13C164-5A15-4C91-B908-6B90B9DA4570} - System32\Tasks\Michał => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Michał /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-1071736017-1932688384-3425510773-1002\...\Run: [Michał] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    C:\Users\Michał\Desktop\Nowy folder\(64х)Farming Simulator 17.lnk

    C:\Users\Michał\Desktop\Nowy folder\(32х)Farming Simulator 17.lnk

    C:\Users\Michał\Desktop\Nowy folder\Редактор Car Mechanic Simulator 2018.lnk

    SearchScopes: HKU\S-1-5-21-1071736017-1932688384-3425510773-1002 -> {F03339B1-D7E9-4216-A522-8EC8211E72A8} URL =

    Task: {C0721F55-25D1-461D-BD38-EB575E52858C} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku <==== UWAGA

    C:\Users\Michał\AppData\Roaming\1de0de73-de3e-46c6-81b0-f6455f081644

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Michał\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    F.

  14. Napisano · Edytowane przez filutka78

    -->>@pawel1983

     

    Otwórz Notatnik i wklej w nim:

    Task: {420343E8-EA84-4698-A400-B1A67913A308} - System32\Tasks\Lenovo => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Lenovo /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-69303352-285976517-338829367-1001\...\Run: [Lenovo] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    HKU\S-1-5-21-69303352-285976517-338829367-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.key-find.com/web/?type=dspp&ts=1424546514&from=cor&uid=ST500LM012XHN-M500MBB_S2ZYJ9KG110294&q={searchTerms}

    HKU\S-1-5-21-69303352-285976517-338829367-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1438162481&z=82507d602bdfa8a51e30906g4z5c8b5g7q4ocw1gfg&from=wpm07173&uid=ST500LM012XHN-M500MBB_S2ZYJ9KG110294

    HKU\S-1-5-21-69303352-285976517-338829367-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.key-find.com/web/?type=dspp&ts=1424546514&from=cor&uid=ST500LM012XHN-M500MBB_S2ZYJ9KG110294&q={searchTerms}

    SearchScopes: HKU\S-1-5-21-69303352-285976517-338829367-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

    FF user.js: detected! => C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\e60hggry.default\user.js [2015-07-29]

    FF SearchPlugin: C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\e60hggry.default\searchplugins\delta-homes.xml [2015-08-02]

    FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\e60hggry.default\extensions\fftoolbar2014@etech.com => nie znaleziono

    FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\e60hggry.default\extensions\quick_searchff@gmail.com => nie znaleziono

    FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Lenovo\AppData\Roaming\Mozilla\Firefox\Profiles\e60hggry.default\extensions\sweetsearch@gmail.com => nie znaleziono

    S3 andnetndis; \SystemRoot\system32\DRIVERS\lgandnetndis64.sys [X]

    Task: {1E62BE5F-8240-4A39-BD61-663B819BAF08} - System32\Tasks\{4A86BC9B-4A0B-48EA-886A-64684B5CB4BF} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe"

    C:\Program Files (x86)\Picexa

    Task: {5D266D7B-6963-4ADB-A339-B33DFA0AFAA0} - System32\Tasks\{0DC6E40C-FF63-40BC-8F45-90A2BFB31A9F} => C:\Windows\system32\pcalua.exe -a C:\Users\Lenovo\Downloads\MT4171_ArcSoft_TotalMedia_windows_XP-Vista-7_32&64bit\MT4171_ArcSoft_TotalMedia_windows_XP-Vista-7_32&64bit\Application\Setup.exe -d C:\Users\Lenovo\Downloads\MT4171_ArcSoft_TotalMedia_windows_XP-Vista-7_32&64bit\MT4171_ArcSoft_TotalMedia_windows_XP-Vista-7_32&64bit\Appl (dane wartości zawierają 7 znaków więcej).

    HKU\S-1-5-21-69303352-285976517-338829367-1001\...\Run: [EpicScale] => [X]

    HKU\S-1-5-21-69303352-285976517-338829367-1001\...\Run: [] => [X]

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Lenovo\Downloads\FRST

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    F.

  15. Napisano · Edytowane przez filutka78

    -->>@przemekpola95

     

    1) Odinstaluj niepotrzebny do niczego program Akamai NetSession Interface

     

    2) SpyHunter4 - nie jest zaufanym programem.

    spróbuj odinstalować w ten sposób:

    kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>SpyHunter>>Uninstall)

    wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje.

     

    3) Otwórz Notatnik i wklej w nim:

    Task: {A4226268-2C7D-4947-BE5A-49B3A3B4D2F0} - System32\Tasks\przem => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v przem /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-3653002765-893428245-1113082265-1001\...\Run: [przem] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    Task: {072F078E-2FFC-4C64-89CC-FF028FED3742} - System32\Tasks\SVC Update => C:\WINDOWS\explorer.exe "hxxp://sh.st/AeotZ" <==== UWAGA

    RemoveDirectory: D:\SpyHunter

    RemoveDirectory: C:\Program Files (x86)\Enigma Software Group

    RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4

    RemoveDirectory:

    DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software

    DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes

    DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes

    DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes

    DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter4_is1

    DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter4_is1

    Task: {ADF0435C-3986-4F5D-8A45-8A411FC2ABDF} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA

    FirewallRules: [uDP Query User{95FC25C4-6A78-47CF-85B7-E4FBD86F9FAA}C:\users\przem\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\przem\appdata\local\akamai\netsession_win.exe

    FirewallRules: [TCP Query User{7FD7D80F-3C5F-4949-8A31-4E6D4CD921D1}C:\users\przem\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\przem\appdata\local\akamai\netsession_win.exe

    FirewallRules: [uDP Query User{5B4BC3A8-FE54-44A8-8378-E915BBF1003D}C:\users\przem\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\przem\appdata\local\akamai\netsession_win.exe

    FirewallRules: [TCP Query User{507E149F-5C13-4496-B5B1-370D516C7A8B}C:\users\przem\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\przem\appdata\local\akamai\netsession_win.exe

    C:\users\przem\appdata\local\akamai\netsession_win.exe

    HKU\S-1-5-21-3653002765-893428245-1113082265-1001\...\Run: [Akamai NetSession Interface] => C:\Users\przem\AppData\Local\Akamai\netsession_win.exe [4490200 2017-01-03] (Akamai Technologies, Inc.)

    R2 SpyHunter 4 Service; D:\SpyHunter\SH4Service.exe [770944 2015-01-30] (Enigma Software Group USA, LLC.)

    S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-01-30] ()

    S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]

    C:\WINDOWS\system32\Drivers\EsgScanner.sys

    C:\spyhunter.fix

    C:\shldr.mbr

    C:\shldr

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na D:\Pulpit

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    F.

  16. Napisano · Edytowane przez filutka78

    -->>@kiziol1979

     

    Otwórz Notatnik i wklej w nim:

    Task: {D84F7377-12EF-4052-86E4-1E3FE4173949} - System32\Tasks\Tomasz => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Tomasz /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-3580450709-919283477-2175526490-1001\...\Run: [Tomasz] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    Task: {45FFE41E-EF31-4398-8DA3-3966BC5D01E3} - System32\Tasks\{B08C315A-FBDC-4BDD-8679-D5F748DB5DED} => C:\WINDOWS\system32\pcalua.exe -a "D:\Programy i sterowniki\Interfejs VAG VW Passat B5 96-00\FTDI\FTDIUNIN.EXE" -d "D:\Programy i sterowniki\Interfejs VAG VW Passat B5 96-00\FTDI"

    Task: {9E585A71-F0FC-4125-A48F-660F36E764A2} - System32\Tasks\{52A31789-19D4-411C-A6FD-F32B5F21B181} => C:\WINDOWS\system32\pcalua.exe -a "D:\Programy i sterowniki\Interfejs VAG VW Passat B5 96-00\Diag PL\DIAG_PL\DIAG_PL.exe" -d "D:\Programy i sterowniki\Interfejs VAG VW Passat B5 96-00\Diag PL\DIAG_PL"

    Task: {D36670E0-AB1F-4FD9-BCA1-991DB8163D55} - System32\Tasks\{7D4648F5-F668-47DD-B08B-1695668A19C8} => C:\WINDOWS\system32\pcalua.exe -a H:\OriginSetup.exe -d H:\

    Task: {D94E601B-C2AD-444D-BA78-ECE28F35995B} - System32\Tasks\{552C4806-8184-47C1-A423-3E40576EF0FF} => C:\WINDOWS\system32\pcalua.exe -a "D:\Programy i sterowniki\Interfejs VAG VW Passat B5 96-00\CDM v2.12.00 WHQL Certified.exe" -d "D:\Programy i sterowniki\Interfejs VAG VW Passat B5 96-00"

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Tomasz\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    F.

  19. Napisano · Edytowane przez filutka78

    -->>@Mojra94

     

    Chrome czysty, ale infekcja jest nadal widoczna.

    Otwórz Notatnik i wklej w nim:

    HKU\S-1-5-21-1454523195-2702296416-3308512092-1000\...\Run: [Mojra] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    Task: {E0879B2A-41A5-4F98-8545-C5552895A779} - System32\Tasks\Mojra => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mojra /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Mam nadzieję, że teraz już zniknie na dobre ...

     

    F.

     

     

    *******************************************

     

     

    -->>@Lukas111

     

    Debugger znikł, na szczęście.

     

    Tylko drobna kosmetyka:

    Otwórz Notatnik i wklej w nim:

    S4 0191051437157089mcinstcleanup; C:\Windows\TEMP\019105~1.EXE -cleanup -nolog [X]

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Lukas\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    F.

  20. Napisano · Edytowane przez filutka78

    -->>@Mojra94

     

    Ten badany plik jest rzeczywiście od INTEL'a, więc te wszystkie programy o dziwnych nazwach zostawiamy w spokoju.

    Plik co prawda nie ma sygnatury INTELa, ale jego

    MD5: 45BF18A985DB89C49B4AF4076241630F

    świadczy o tym, że plik jest INTELa.

     

    Avast - zostaw, ja też go używam.

     

    Zrób jeszcze log FRST.txt - zobaczymy, czy w Chrome wszystko usunięte.

     

    F.

  21. Napisano · Edytowane przez filutka78

    -->>@Mojra94

     

    Tych programów jak szukałam po dacie zapisu nie ma nawet jak teraz zerknęłam w panelu sterowania - odinstaluj program.

    Wiem, że nie ma ich na liście Twoich programów, ale są w folderze C:\Program Files

     

    Zobaczymy właściwości jednego z nich:

    Otwórz Notatnik i wklej w nim:

    File: C:\Program Files\e1k62x64.inf

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    ------------

     

    Jaki antywirus polecasz? Widzę, że się bardziej na tym znasz niż ja, a Avast przy skanowaniu nie wykrył nic,

    Problem w tym, że na razie żaden antywirus nie dake sobie z tym rady, nawet te płatne.

     

    F.

  22. Napisano · Edytowane przez filutka78

    -->>@Mojra94

     

    1) Uruchom Google Chrome

    > Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

    > Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >

    > Kliknij: Wybierz strony >

    > Usuń: wszystkie strony, których nie znasz

     

    2) Otwórz Notatnik i wklej w nim:

    HKU\S-1-5-21-1454523195-2702296416-3308512092-1000\...\Run: [Mojra] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

    Toolbar: HKU\S-1-5-21-1454523195-2702296416-3308512092-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku

    S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]

    S3 catchme; \??\C:\ComboFix\catchme.sys [X]

    S3 GPCIDrv; \??\C:\Program Files (x86)\GIGABYTE\GIGABYTE OC_GURU II\GPCIDrv64.sys [X]

    S3 MSICDSetup; \??\E:\CDriver64.sys [X]

    S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    3) Napisz, czy problem znikł.

     

    4) Znasz te programy o dziwnych nazwach?

    2012-01-21 10:34 - 2012-01-21 10:34 - 000010824 ____R () C:\Program Files\E1c62x64.CAT

    2009-12-24 09:12 - 2009-12-24 09:12 - 000003114 _____ () C:\Program Files\e1c62x64.din

    2012-01-20 03:31 - 2012-01-20 03:31 - 000091593 ____R () C:\Program Files\E1C62x64.INF

    2011-12-13 17:11 - 2011-12-13 17:11 - 000020030 ____R () C:\Program Files\E1E6232E.CAT

    2011-05-18 06:46 - 2011-05-18 06:46 - 000002725 _____ () C:\Program Files\e1e6232e.din

    2011-11-17 04:26 - 2011-11-17 04:26 - 000196813 ____R () C:\Program Files\E1E6232E.INF

    2011-08-11 20:42 - 2011-08-11 20:42 - 000010674 ____R () C:\Program Files\e1k62x64.cat

    2009-10-10 00:43 - 2009-10-10 00:43 - 000003143 _____ () C:\Program Files\e1k62x64.din

    2011-07-20 23:01 - 2011-07-20 23:01 - 000089400 _____ () C:\Program Files\e1k62x64.inf

    i inne o podobnych nazwach?

    Niektóre mają sygnaturę INTEL'a, ale nigdy o takich nie słyszałam.

     

    F.

  23. Napisano · Edytowane przez filutka78

    -->>@Lukas111

     

    1) Odinstaluj niepotrzebny do niczego program Akamai NetSession Interface

     

    2) Otwórz Notatnik i wklej w nim:

    Task: {288D1F85-3062-4E05-BEA1-23AC2EC66788} - System32\Tasks\Lukas => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Lukas /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    HKU\S-1-5-21-2060752795-1268508309-584505714-1001\...\Run: [Lukas] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    IFEO\adwcleaner_5.005.exe: [Debugger] svchost.exe

    IFEO\AnVir.exe: [Debugger] svchost.exe

    IFEO\AutoLogger.exe: [Debugger] svchost.exe

    IFEO\avz.exe: [Debugger] svchost.exe

    IFEO\CCleaner.exe: [Debugger] svchost.exe

    IFEO\CCleaner64.exe: [Debugger] svchost.exe

    IFEO\FRST.exe: [Debugger] svchost.exe

    IFEO\FRST64.exe: [Debugger] svchost.exe

    IFEO\HiJackThis.exe: [Debugger] svchost.exe

    IFEO\mbam.exe: [Debugger] svchost.exe

    IFEO\regedit.exe: [Debugger] svchost.exe

    IFEO\RegWorks.exe: [Debugger] svchost.exe

    IFEO\RSIT.exe: [Debugger] svchost.exe

    IFEO\RSITx64.exe: [Debugger] svchost.exe

    GroupPolicy\User: Ograniczenia <==== UWAGA

    SearchScopes: HKU\S-1-5-21-2060752795-1268508309-584505714-1001 -> {9EFD44EB-9AAD-4EA8-9410-F4F5AC1CCC02} URL = hxxps://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms}

    S3 NvStreamNetworkSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe" [X]

    S2 NvStreamSvc; "C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe" [X]

    HKU\S-1-5-21-2060752795-1268508309-584505714-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Lukas\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)

    HKU\S-1-5-21-2060752795-1268508309-584505714-1001\...\Run: [Opencl] => "C:\Users\Lukas\AppData\Roaming\Opencl\nircmd.exe" exec hide "C:\Users\Lukas\AppData\Roaming\Opencl\start.bat"

    C:\Users\Lukas\AppData\Local\Akamai\netsession_win.exe

    S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]

    S4 nvvhci; \SystemRoot\System32\drivers\nvvhci.sys [X]

    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]

    HKU\S-1-5-21-2060752795-1268508309-584505714-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\Lukas\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    3) Napisz, czy problem znikł?

     

    4) Zrób log FRST.txt - zobaczymy, czy z Rejestru znikł "debugger".

     

     

    F.

  24. Napisano · Edytowane przez filutka78

    -->>@Mojra94

     

     

    log FRST.txt nie jest cały, więc oczywiście infekcja nie zostanie na razie w całości usunięta.

     

    1) Otwórz Notatnik i wklej w nim:

    Task: {E0879B2A-41A5-4F98-8545-C5552895A779} - System32\Tasks\Mojra => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Mojra /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" <==== UWAGA

    ContextMenuHandlers6: [Fast Explorer] -> {693BE9C0-BEC3-11D2-B4C1-C33BBD3AD64B} => -> Brak pliku

    C:\Users\Mojra\AppData\Roaming\Microsoft\Office\Niedawny\12087681_załącznik.LNK

    C:\Users\Mojra\AppData\Roaming\Microsoft\Office\Niedawny\12135233_specyfikacja.LNK

    C:\Users\Mojra\AppData\Roaming\Microsoft\Office\Niedawny\Egzamin-cz1.LNK

    C:\Users\Mojra\AppData\Roaming\Microsoft\Office\Niedawny\Re- Wycena stolarki okiennej. (1).LNK

    C:\Users\Mojra\AppData\Roaming\Microsoft\Office\Niedawny\Sara Dokumenty.LNK

    C:\Users\Mojra\AppData\Roaming\Microsoft\Office\Niedawny\WKT 0057-17.LNK

    C:\Users\Mojra\AppData\Roaming\Microsoft\Office\Niedawny\zapyt. ofert.LNK

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    2) Zrób nowe logi FRST - już bez Shortcut.

     

    F.

  25. Napisano · Edytowane przez filutka78

    -->@GrzmotekPL

     

    Otwórz Notatnik i wklej w nim:

    HKU\S-1-5-21-1424173322-1571454532-2982473726-1001\...\Run: [ernes] => explorer.exe hxxp://ozirizsoos.info <==== UWAGA

    Task: {45497FE0-73FA-4041-9D00-52AB3E28AA51} - \ernes -> Brak pliku <==== UWAGA

    Task: {093E276A-41EB-4D54-950A-686DA2BE153D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA

    Task: {C5F28E88-BEB5-435D-A14B-9EE2C7C6AC23} - System32\Tasks\{84527376-12EF-4E33-83A2-BE667E5B2005} => C:\Windows\system32\pcalua.exe -a "D:\Sims Średniowiecze\Game\Bin\TSM.exe" -d "D:\Sims Średniowiecze\Game\Bin"

    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA

    DeleteKey: HKU\S-1-5-21-1424173322-1571454532-2982473726-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze C:\Users\ernes\Downloads

    Uruchom FRST i kliknij przycisk Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    --------

    Masz dwa antywirusy - pozbądź się jednego z nich.

     

    Do usuwania AVG służy AVG Remover - https://www.avg.com/pl-pl/utilities

     

    Do usuwania Avasta służy Avast Uninstall Utility - http://www.avast.com/uninstall-utility

     

    F.

×
×
  • Dodaj nową pozycję...