Zappa

1. Otwórz notatnik i wklej DeleteQuarantine: plik zapisz jako fixlist.txt i umieść w C:\Users\Bartosz\Desktop\pliki\ważne. Uruchom FRST i kliknij w Fix 2. Zastosuj Delfix i wyczyść foldery przywracania systemu. https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415?do=findComment&comment=42415

Sprawdzałeś słuchawki na sprzęcie audio lub innej płycie?

Otwórz notatnik i wklej CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-1166034103-2044418019-3407044678-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\S-1-5-21-1166034103-2044418019-3407044678-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1166034103-2044418019-3407044678-1000 -> DefaultScope {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S4 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1509320 2015-05-30] (GOOBZO) Task: {18351A95-C6FB-4B0E-8160-D1025803A7DB} - \ASP No Task File <==== ATTENTION Task: {2213EF14-772A-46DA-AAB6-F49EAA9D3C71} - \ShopperProJSUpd No Task File <==== ATTENTION Task: {2CC37559-56B8-4DDB-890A-309F3D4C5BD9} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION Task: {3EA784C1-33CB-4772-89C5-3ABE52B27F88} - System32\Tasks\{8AAD4043-004A-469F-B853-FF97D7CC4A10} => pcalua.exe -a C:\Users\Artur19E68\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=squadm Task: {8957C5E4-EF1C-4E64-8E38-28401954BA65} - System32\Tasks\YTAUpdate => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-05-30] (Goobzo) <==== ATTENTION Task: {CD62D989-46BF-40C4-8CC1-04EBD491E823} - \SPDriver No Task File <==== ATTENTION Task: {D0AA78CD-7397-4EF6-B0E4-D2FC5D26702E} - \ShopperPro No Task File <==== ATTENTION C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator EmptyTemp: plik zapisz jako fixlist.txt i umieść w C:\Users\Artur19E68\Downloads. Uruchom FRST i kliknij w Fix. Przedstaw raport fixlog.txt 2. Z panelu programów odinstaluj Shopper-Pro 3. Wykonaj nowy skan FRST - opcji Addition i Shortcut nie zaznaczaj.

Bład generuje Nero: Error: (06/16/2015 03:06:27 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d6727a7 Nazwa modułu powodującego błąd: NeroDigitalExt.dll, wersja: 2.0.0.8, sygnatura czasowa: 0x4379b352 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0007e5d3 Identyfikator procesu powodującego błąd: 0xe88 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Odinstaluj testowo Nero 7 Ultra Edition i Nero 9 Essentials.

Duzy bo nie został przefiltrowany odpowiednią komendą. Start > polecenie uruchom > cmd w oknie konsoli wklej findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt raport podaj jako załacznik - nie wrzucaj na wklej.org

Otwórz notatnik i wklej CloseProcesses: IFEO\backitup.exe: [Debugger] "C:\Program Files\AVG\AVG PC TuneUp\TUAutoReactivator32.exe" StartMenuInternet: IEXPLORE.EXE - iexplore.exe S2 ASPI32; No ImagePath Task: {E4EF42F4-6CF6-46AF-9F26-E82D1CE14451} - System32\Tasks\{F9824B51-041B-4CE6-BDF1-81138A73E958} => pcalua.exe -a F:\CDSETUP.EXE -d C:\Users\Howoj\Desktop Task: {4369865B-565E-42BC-81B0-521E3AD0925D} - System32\Tasks\{E53F0F30-0CF0-48DF-BEE8-82CAF3414D26} => pcalua.exe -a F:\ScanWizard5\Polish\setup.exe -d F:\ScanWizard5\Polish Task: {4CB1EBE7-F947-4268-9134-49FEF09990EE} - System32\Tasks\{91AE9DAE-3E19-4121-960C-B5E8B2FE8823} => pcalua.exe -a E:\Ewi_pobierane\trial10.exe -d E:\Ewi_pobierane Reboot: plik zapisz jako fixlist.txt i umieść w C:\Users\Howoj\Downloads. Uruchom FRST i kliknij w Fix. Przedstaw raport fixlog.txt.

Otwórz notatnik i wklej CloseProcesses: C:\WINDOWS\%LOCALAPPDATA% C:\ProgramData\McAfee Task: {65337AF0-18BC-4ECD-9B8E-27DF6CAF2D55} - System32\Tasks\Windows Updater => C:\Users\Bartosz\AppData\Roaming\Updater\winupd.exe <==== ATTENTION Task: {824EE1F6-1D24-44A0-8745-1F0CCF63C0F5} - System32\Tasks\Softcomp Software Job => C:\Program Files (x86)\Softcomp Software\swjob.exe Reboot: plik zapisz jako fixlist.txt i umieść w C:\Users\Bartosz\Desktop\pliki\ważne. Uruchom FRST i kliknij w Fix. Po usuwaniu powstanie raport fixlog.txt - przedstaw go.

skorzystaj z tego tutka. Pomiń krok z usługą BFE https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/

wejdź w tryb awaryjny i zastosuj avast uninstal utility http://www.avast.com/uninstall-utility potem w trybie normalnym spróbuj zainstalować anrtywirusa

Zapora jest wyłaczona przez Avasta. I tak ma być.

Pobierz ten plik i zapisz go jako fix.reg. Z prawokliku na plik > Scal . restart i sprawdzasz czy usługa działa. https://www.fixitpc.pl/index.php?app=core&module=attach&section=attach&attach_id=13540

te wyniki to kwarantanna FRST. Pomin je. Reszte zaznacz i usuń przez MBAM. Pliki: 20 PUP.Optional.MultiPlug.A, C:\Program Files (x86)\PrIcEEMinUs\XOiUHzktXN5NpO.x64.dll, , [b6116457d7b3c274c3b83539c43e2ed2], PUP.Optional.MultiPlug.A, C:\FRST\Quarantine\C\Program Files (x86)\bestadblocker\DpC57eoTDunwbZ.dll, , [83443c7f5e2c2f071f5c75f9976ba45c], PUP.Optional.MultiPlug.A, C:\FRST\Quarantine\C\Program Files (x86)\bestadblocker\DpC57eoTDunwbZ.x64.dll, , [10b7407b85058bab6a11531bd929f30d], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugincontainer.bak, , [1daabb001e6cb97d6d356d157d8915eb], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugincontainer.exe, , [8e396c4f82081c1a81210e74e81ef907], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\2\Plugin.exe, , [c205ead1fa9085b1b5edf19129dd4cb4], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\2bak\Plugin.exe, , [d8efb00b75157db90e94b4ce818524dc], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\3\Plugin.exe, , [8d3aebd0c7c3003600a2f98932d4817f], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\3bak\Plugin.exe, , [9a2df1cae5a560d6e7bb3f435babe11f], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\5\Plugin.exe, , [7354d8e34545a492742ecbb77393dd23], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\5bak\Plugin.exe, , [794e8635a5e5ae8841618ef40006ff01], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\8\Plugin.exe, , [4087a516800a0c2ac3dfadd5de28d12f], PUP.Optional.CommonDots.A, C:\FRST\Quarantine\C\ProgramData\10d68142-4184-4238-be73-f262bcead1ff\plugins\8bak\Plugin.exe, , [11b62d8e6f1bb581534f067ca264cc34], PUP.Optional.MultiPlug.A, C:\Program Files (x86)\PrIcEEMinUs\XOiUHzktXN5NpO.dll, , [ecdb2398a0ea6acc215a77f741c116ea], PUP.Optional.CommonDots.A, C:\Users\Bartosz\AppData\Local\Temp\~nsu.tmp\Au_.exe, , [d2f5d0eb6e1c96a080228ff36d991de3], Trojan.Dropper, C:\Users\Bartosz\AppData\Roaming\Updater\winupd.exe, , [6f58d0eba2e8fb3baac5bbbab64a5aa6], PUP.Optional.PriceMinus.A, C:\Program Files (x86)\PrIcEEMinUs\XOiUHzktXN5NpO.tlb, , [982fd2e90f7b0135ed4bdfab18ed15eb], PUP.Optional.PriceMinus.A, C:\Program Files (x86)\PrIcEEMinUs\XOiUHzktXN5NpO.dat, , [982fd2e90f7b0135ed4bdfab18ed15eb], PUP.Optional.PrxySvrRST, C:\Users\Bartosz\AppData\Roaming\Updater\winupd.exe, , [4087e5d6bdcdd75f6ec5147cf60fe41c], PUP.Optional.PrxySvrRST, C:\Users\Bartosz\AppData\Roaming\Updater\tasks.dll, , [4087e5d6bdcdd75f6ec5147cf60fe41c], Po usuwaniu uruchom ponownie system i zrób nowy skan FRST. Przejdziemy do czynnośco końcowych.

Wykonaj pełny skan dysku C Malwarebytes. Zainstaluj wersje darmową i przedstaw raport jeśli coś znajdzie. https://www.malwarebytes.org/lp/sem/5/?gclid=CNiQ2_DilsYCFdMatAodFScA7A

Otwórz notatnik i wklej CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1434006755&z=352502e3dad9e1317712e36gcz3c3z6e5e8q7m8z7b&from=cor&uid=WDCXWD10JPVX-22JC3T0_WD-WX21EC3AE534AE534&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1434006755&z=352502e3dad9e1317712e36gcz3c3z6e5e8q7m8z7b&from=cor&uid=WDCXWD10JPVX-22JC3T0_WD-WX21EC3AE534AE534&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1434006755&z=352502e3dad9e1317712e36gcz3c3z6e5e8q7m8z7b&from=cor&uid=WDCXWD10JPVX-22JC3T0_WD-WX21EC3AE534AE534&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1434006755&z=352502e3dad9e1317712e36gcz3c3z6e5e8q7m8z7b&from=cor&uid=WDCXWD10JPVX-22JC3T0_WD-WX21EC3AE534AE534&q={searchTerms} FF Extension: PrricEMMinus - C:\Users\Bartosz\AppData\Roaming\Mozilla\Firefox\Profiles\4wzmput8.default\Extensions\a5qiDBRE@a.org [2015-06-16] FF Extension: bestadblocker - C:\Users\Bartosz\AppData\Roaming\Mozilla\Firefox\Profiles\4wzmput8.default\Extensions\gKFJ15@dRG.net [2015-06-16] BHO-x32: PrIcEEMinUs -> {202BE901-CCC4-497C-B648-369D7F516B34} -> C:\Program Files (x86)\PrIcEEMinUs\XOiUHzktXN5NpO.dll [2015-06-16] () BHO-x32: bestadblocker -> {ABE4560D-84F2-4AC2-8687-A3068DC7486A} -> C:\Program Files (x86)\bestadblocker\DpC57eoTDunwbZ.dll [2015-06-16] () S2 PrivoxyService; "C:\Program Files (x86)\Softcomp Software\privoxy.exe" --service [X] <==== ATTENTION C:\Program Files (x86)\PrricEMMinus C:\Program Files (x86)\bestadblocker C:\ProgramData\5908958431581645522 C:\ProgramData\10d68142-4184-4238-be73-f262bcead1ff EmptyTemp: plik zapisz jako fixlist.txt i umieść w C:\Users\Bartosz\Desktop\pliki\ważne. Uruchom FRST i kliknij w Fix. Po usuwaniu powstanie raport fixlog.txt - przedstaw go.

Z panelu programów odinstaluj PrIcEEMinUs i bestadblocker. Zrób nowy skan FRST. Nie zaznaczaj opcji Addition i Shortcut.

Wstaw logi z FRST.

Otwórz notatnik i wklej Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE" ListPermissions: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE plik zapisz jako fixlist.txt i umieść w D:\Download\POMOC. Uruchom FRST i kliknij w Fix. Przedstaw raport fixlog.txt.

Wg. mnie tamat do zamknięcia. Należy wykonać kroki końcowe. Zastosuj Delfix i opróżnij foldery przywracania systemu. https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415?do=findComment&comment=42415

Przykro. Czasem tak bywa.

Zrób dodatkowy skan FRST. Uruchom program i zaznacz jedynie opcje Services pozostałe odznaczone. Kliknij w Scan > przedstaw raport.

Usuniemy pewne wpisy. Nie sądze aby miały wpływ na problem głowny. Otwórz notatnik i wklej CloseProcesses: HKU\S-1-5-21-127472655-3634354632-1811636288-1000\...\MountPoints2: {06787283-e7e7-11e4-b0c2-14dae90f3b16} - F:\Startme.exe HKU\S-1-5-21-127472655-3634354632-1811636288-1000\...\MountPoints2: {9f9398da-093f-11e5-b0ed-14dae90f3b16} - F:\AutoRun.exe HKU\S-1-5-21-127472655-3634354632-1811636288-1000\...\MountPoints2: {ce9e3e58-e1a5-11e4-8f87-14dae90f3b16} - F:\AutoRun.exe HKU\S-1-5-21-127472655-3634354632-1811636288-1000\...\MountPoints2: {ce9e3e67-e1a5-11e4-8f87-14dae90f3b16} - F:\AutoRun.exe ShellIconOverlayIdentifiers-x32: [EnhancedStorageShell] -> {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} => No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => No File ShellIconOverlayIdentifiers-x32: [sharingPrivate] -> {08244EE6-92F0-47f2-9FC9-929BAA2E7235} => No File ShellIconOverlayIdentifiers-x32: [uchwyt nakładania ikony podpisu cyfrowego] -> {36A21736-36C2-4C11-8ACB-D4136F2B57BD} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: No Name -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> No File BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File BHO-x32: No Name -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> No File Toolbar: HKLM-x32 - No Name - {8dcb7100-df86-4384-8842-8fa844297b3f} - No File Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - No File Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - No File ShellExecuteHooks-x32: - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File [ ] C:\rsit Task: {99F0728E-AE51-45AF-8599-095287937610} - \CCleanerSkipUAC No Task File <==== ATTENTION Task: {D0250F3F-6480-484F-B719-42F659AC64D5} - No Task path EmptyTemp: plik zapisz jako fixlist.txt i umieść w C:\Users\User\Downloads. Uruchom FRST i kliknij w Fix. Po usuwaniu powstanie raport fixlog.txt przedstaw go. Zrób nowy skan FRST - opcji Addition i Shortcut nie zaznaczaj.

Próbowałeś teraz zainstalować jakiś program?

Tu nie ma infekcji. Zrób co podałem - co Ci szkodzi?

Na początek odinstaluj Avasta. Mozesz potem też wykonać weryfikację plików systemowych start > polecenie uruchom wpisz cmd > enter w oknie konsoli wklep sfc /scannow klik enter

Raczej nie jest to sprawa infekcji. Odinstaluj ESET i sprawdź jak uruchamia sie system.