picasso
-
Postów
36 516 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
"Service Mgr Treasuretrack" rozsiewa reklamy, blokuje strony
picasso odpowiedział(a) na Bat74 temat w Dział pomocy doraźnej
W Firefox nadal jest widoczne rozszerzenie Treasure Track. Dodatkowo, na wielu folderach jest podpięty podejrzany strumień Win32App. Przy okazji będzie usuwanie odpadków po aktualizacji Windows 7 > Windows 10 oraz redukcja nadmiaru zainstalowanych programów zabezpieczających, tu działają równolegle 360 i Norton (!), co powinno być obrazowane conajmniej degradacją wydajności. Akcje do wykonania: 1. Odinstaluj stare wersje i zbędniki: Adobe Reader X (10.1.9) - Polish, Applian Director (uszkodził go AdwCleaner), Bing Bar, Norton Online Backup, Panda USB Vaccine 1.0.1.4, Podstawowe programy Windows Live, Windows Live Sync oraz albo 360 Total Security, albo Norton Security. Jeśli padnie na Nortona, to jeszcze po deinstalacji popraw narzędziem Norton Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00D1D7F9-E6F2-4ABD-AA3B-C94D10144304} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {021A74AF-D2E0-41CD-ABA6-360AD543BB36} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {18D40BF5-9E2F-48FB-82FC-5069BA56E20F} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {1BB6C405-C71E-4A6D-9AD9-EAFA048BC49D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {383D4AE9-0DB5-4E2A-892B-BCA902D43374} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {394E61B2-939C-4517-9C19-83AB10ADB0AF} - System32\Tasks\{1E09D96F-E272-4A59-9D20-65DF279BAF8C} => pcalua.exe -a "C:\Program Files (x86)\HP Games\HP Game Console\install_flash_player_active_x.exe" Task: {3EF726E8-827E-4401-919D-EEDEF9E31229} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {42E6D946-E9A3-424C-B45D-2C17B3A29D06} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {44D6F1C6-E98B-4542-8B9E-265E21A2719C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {45EF8B74-D2AA-47D8-9F53-B1C47251AD41} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4CCD2CC8-6723-40E4-A180-57AB11DEAF7A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4FCCDD64-85E8-4454-B8EE-E145378B5B07} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {51675C08-A108-40B9-B8BF-94E5C331BDDB} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {53F2CAF9-23E5-4350-893A-91CDD51FED0B} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {5C7D224C-C79F-4656-B7DF-BF1CEE6AEC90} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {6F208B1A-D702-4827-99B8-209BE1E47AEB} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {6F7FCA77-4A56-4A0D-B33A-1553EF370BD7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {749664F8-1EB4-4D82-8A56-40B0E5678199} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7AC9C472-6A65-4B1B-B239-9B3CD411BFB7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8D01C8EF-E546-4A4E-9FBF-37A660512F76} - System32\Tasks\{512F78D7-ED24-44B1-A1F3-BB2265F5A229} => pcalua.exe -a "C:\Program Files\Applian Technologies\Replay Media Catcher 4\auninstall.exe" -d "C:\Program Files\Applian Technologies\Replay Media Catcher 4" Task: {9306CCE1-C2DB-499F-9E9F-4407C922D909} - System32\Tasks\{28B535B1-654A-4790-A9D8-BA13F4890AA9} => pcalua.exe -a "C:\Pliki progr nie instalowanych\DOWNLOAD\irfanview_plugins_435_setup(1).exe" -d "C:\Pliki progr nie instalowanych\DOWNLOAD" Task: {98030AC1-2640-422B-B262-03CEF01AB5EA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {996C520F-7BD1-4E80-BC1D-1260F3B15DFC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {A3EBC388-1E48-4239-BCBD-5AEFF33D0469} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {A7848DDD-1C04-4A55-97E5-6A7C69A2AB76} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {B57CCE03-19A0-40D9-AB70-555FF06D97C0} - System32\Tasks\{B4446E3F-4BDA-42D3-B54C-61177300E25B} => pcalua.exe -a "C:\Program Files (x86)\1ClickMovie-Download V9.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {B7B79604-808D-4141-BB42-56DE71BA58A3} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {B862ED1B-9E25-4D18-AFE9-15A32AB195E9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {C023CD42-5A2D-4779-A2A5-05D1DA5D2D1C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {C03971D1-DCD2-4DB5-90F4-6E227E708622} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {C0FCD90C-A290-4F44-8670-FB2B618875D7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C28213E2-43DD-4433-8641-E43968276500} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {C750A9AB-2BF0-4B3A-8D50-CC9CCFF967D6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {CAC781A6-940D-4772-8EAA-D7A3F990CB0F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D611962F-DF1C-4D0B-B7F1-336FB2CF0F91} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {DB68BBE5-99EB-4D54-960F-785EC7556517} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {ED039404-CEA5-4755-8741-895074C7FBB7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F2D4A99C-8423-41BF-9C91-3A5E6AC4250E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {FD3667FE-C42B-442E-B237-D26DE0E59DE0} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center HKU\S-1-5-21-3550354000-425692153-1505289350-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NS&pvid=22.5.4.24 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Toolbar: HKLM - Brak nazwy - {A13C2648-91D4-4bf3-BC6D-0079707C4389} - Brak pliku Toolbar: HKU\S-1-5-21-3550354000-425692153-1505289350-1000 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath AlternateDataStreams: C:\FR90PE_VOL:Win32App AlternateDataStreams: C:\Program Files\CCleaner:Win32App AlternateDataStreams: C:\Program Files\ConvertHelper3:Win32App AlternateDataStreams: C:\Program Files\DigitalPersona:Win32App AlternateDataStreams: C:\Program Files\Hewlett-Packard:Win32App AlternateDataStreams: C:\Program Files\IDT:Win32App AlternateDataStreams: C:\Program Files\LockHunter:Win32App AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App AlternateDataStreams: C:\Program Files\My Lockbox:Win32App AlternateDataStreams: C:\Program Files\Validity Sensors:Win32App AlternateDataStreams: C:\Program Files (x86)\ABBYY FineReader 9.0:Win32App AlternateDataStreams: C:\Program Files (x86)\ATI Technologies:Win32App AlternateDataStreams: C:\Program Files (x86)\DigitalPersona:Win32App AlternateDataStreams: C:\Program Files (x86)\EasyBits For Kids:Win32App AlternateDataStreams: C:\Program Files (x86)\Free HD Converter:Win32App AlternateDataStreams: C:\Program Files (x86)\Free PDF Solutions:Win32App AlternateDataStreams: C:\Program Files (x86)\Freemake:Win32App AlternateDataStreams: C:\Program Files (x86)\Hewlett-Packard:Win32App AlternateDataStreams: C:\Program Files (x86)\HP Games:Win32App AlternateDataStreams: C:\Program Files (x86)\Intel iPOS v6:Win32App AlternateDataStreams: C:\Program Files (x86)\Microsoft Application Virtualization Client:Win32App AlternateDataStreams: C:\Program Files (x86)\Microsoft SQL Server Compact Edition:Win32App AlternateDataStreams: C:\Program Files (x86)\Norton Security:Win32App AlternateDataStreams: C:\Program Files (x86)\Panda USB Vaccine:Win32App AlternateDataStreams: C:\Program Files (x86)\PlayReady:Win32App AlternateDataStreams: C:\Program Files (x86)\The KMPlayer:Win32App AlternateDataStreams: C:\Program Files (x86)\TuneUp Utilities 2012:Win32App AlternateDataStreams: C:\Program Files (x86)\uTorrent:Win32App AlternateDataStreams: C:\Program Files (x86)\Verbatim GREEN BUTTON:Win32App AlternateDataStreams: C:\Program Files (x86)\Windows Live:Win32App AlternateDataStreams: C:\Program Files (x86)\WinRAR:Win32App AlternateDataStreams: C:\Program Files (x86)\WinX Free VOB to MP4 Converter:Win32App AlternateDataStreams: C:\Program Files\Common Files\microsoft shared:Win32App AlternateDataStreams: C:\ProgramData\{18165758-115C-4DC0-9EC2-FF89F725767F}:Win32App AlternateDataStreams: C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936}:Win32App AlternateDataStreams: C:\Users\media\AppData\Local\Temp:Win32App AlternateDataStreams: C:\Users\media\Documents\Readon Player:Win32App C:\Program Files\adwcleaner.exe C:\Program Files (x86)\Common Files\AMD C:\ProgramData\*.log C:\ProgramData\1446216504_00000000_base C:\ProgramData\ipla C:\ProgramData\Temp C:\Users\media\everest.exe C:\Users\media\AppData\Local\Sparta C:\Users\media\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\ms word 97.exe — skrót.lnk C:\Users\media\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK C:\Users\media\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ms word 97.lnk C:\Users\media\Desktop\adwcleaner.exe — skrót.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center Folder: C:\SpecProgram CMD: for /d %f in (C:\Users\media\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FlashGot, Video DownloadHelper) trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. -
Temat przenoszę do działu Windows. Nie ma żadnych oznak jawnej infekcji, poza dwoma przekierowaniami na duba.com (strona startowa IE + zmodyfikowany skrót IE). Ale to nie ma związku. 1. Przyczyną problemów z explorer.exe jest moduł programu Autodesk. Z Dziennika zdarzeń: Error: (11/11/2015 02:59:30 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d6727a7 Nazwa modułu powodującego błąd: AdSyncNamespace.dll, wersja: 4.0.27.1, sygnatura czasowa: 0x5110cb36 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0001c356 Identyfikator procesu powodującego błąd: 0x9d4 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Podobny temat tylko z innym modułem: KLIK. Rozpocznij od deinstalacji Autodesk 360. Przy okazji od razu odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Akamai NetSession Interface, AVG Web TuneUp, Google Talk Plugin (już nie działa), HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 51. 2. W Dzienniku jest też błąd sugerujący aktualizację sterowników graficznych AMD: Dziennik System: ============= Error: (11/11/2015 08:11:30 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active PS. Po deinstalacjach kosmetyczne działania (usunięcie wpisów pustych i czyszczenie Tempów), nie powiązane w ogóle z problemami zasadniczymi:
-
Fix pomyślnie wykonany. Zastosuj DelFix, następnie wyczyść foldery Przywrcania systemu: KLIK.
-
Samoczynne włączanie przeglądarki i czarny ekran przy starcie systemu
picasso odpowiedział(a) na brolkovsky temat w Dział pomocy doraźnej
Fix wykonany. Skasuj folder C:\Users\Jakub\Downloads\FRTS i pobrany GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony. -
Fix "stoi" na drugiej komendzie rekursywnego przynawania Administratorom dostępu, czyli nawet połowa się nie wykonała. Czy on nadal pracuje? Jeśli tak, zostaw go w tle.
-
Wirus zablokował mi pliki - helpme@freespeechmail.org
picasso odpowiedział(a) na Betty66 temat w Dział pomocy doraźnej
Czyli mam rozumieć, że nie wykonałaś Fixa FRST? On nadal jest aktualny. Fix FRST miał zrobić rzeczy spoza zakresu tej infekcji oraz usunąć zaszyfrowane pliki także z tych miejsc których "nie widzisz". Nie tylko Twoje osobiste pliki zostały zaszyfrowane, ale pliki Windows i programów również. -
Fix pomyślnie wykonany. Skasuj E:\Pobrane\frst. Następnie dla pewności jeszcze DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. To tyle.
-
Samoczynne włączanie przeglądarki i czarny ekran przy starcie systemu
picasso odpowiedział(a) na brolkovsky temat w Dział pomocy doraźnej
Wolniejsze uruchamianie mogło wynikać z czyszczenia Tempów przez FRST. I jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => nie znaleziono Task: {1BB68C06-50EC-42E6-A2F5-6C0F2EEF92EC} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2053194998-3405878221-685674103-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {722D7488-46ED-4AEB-9622-46C3FF05EC95} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2053194998-3405878221-685674103-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Run" /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Parental Controls.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v TkBellExe /f CMD: type "C:\Program Files (x86)\Mozilla Firefox\B47960E2D889DD55984943B04E3AA048B479" C:\Program Files (x86)\Mozilla Firefox\B47960E2D889DD55984943B04E3AA048B479 C:\Program Files (x86)\Real C:\ProgramData\Real C:\Users\Jakub\AppData\Roaming\Real Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. I podaj czy tym razem reset też trwał dłużej. -
Wirus zablokował mi pliki - helpme@freespeechmail.org
picasso odpowiedział(a) na Betty66 temat w Dział pomocy doraźnej
Możemy zrobić następującą operację: usunąć wszystkie zaszyfrowane pliki z partycji C, E, F, G - to zwolni nieco miejsca na nich. I wtedy można spróbować przekopiować część zaszyfrowanych plików z D na wybrane partycje i zapuścić dekoder ponownie. Zakładam, że na pewno wszystko odszyfrowane na tych partycjach, gdyż akcja usunięcia szyfrowanych wersji jest nieodwracalna. Przy okazji będą adresowane drobnostki widoczne w pierwszych raportach FRST. Czyli: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe AIR, Adobe Reader 9.5.1, OpenOfficePL 2.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sh4native Sh4Removal Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe S3 AsrCDDrv; \??\C:\WINDOWS\system32\Drivers\AsrCDDrv.sys [X] HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [RocketDock] => "C:\Program Files\RocketDock\RocketDock.exe" HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [Asrsetup] => H:\ASRSetup.exe CustomCLSID: HKU\S-1-5-21-1801674531-823518204-725345543-1003_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/ DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab C:\spyhunter.fix C:\Documents and Settings\Betty\Dane aplikacji\sversion.ini C:\Documents and Settings\Betty\Dane aplikacji\recovery.bmp C:\Documents and Settings\Betty\Pulpit\Skrót do SpyHunter4.lnk C:\Documents and Settings\Betty\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache C:\WINDOWS\system32\sh4native.exe C:\WINDOWS\system32\Drivers\tmcomm.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Betty\Moje dokumenty\Downloads\SpyHunter 4.20.9.4533 Portable - AppzDam RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" CMD: attrib -r -h -s C:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s E:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s F:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s G:\*_helpme@freespeechmail.org /s CMD: del /q /s C:\*_helpme@freespeechmail.org CMD: del /q /s E:\*_helpme@freespeechmail.org CMD: del /q /s F:\*_helpme@freespeechmail.org CMD: del /q /s G:\*_helpme@freespeechmail.org EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przetwarzanie Fix może długo trwać, załączone rekursywne usuwanie wszystkich zaszyfrowanych plików z wszystkich partycji z wyjątkiem D. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Plik fixlog.txt też dołącz, ale on będzie makabrycznie wielki, więc spakuj go do ZIP, shostuj gdzieś i podaj link do paczki. -
Samoczynne włączanie przeglądarki i czarny ekran przy starcie systemu
picasso odpowiedział(a) na brolkovsky temat w Dział pomocy doraźnej
Od infekcji adware widzę tylko szczątki (np. w Harmonogramie zadań) oraz dużo pustych wpisów. Doczyśćmy to co widać: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Google Talk Plugin (nie działa), Microsoft SkyDrive , RealPlayer, Shared C Run-time for x64 (odpadek po McAfee). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] Task: {019460D8-B19B-40B7-B842-077EA0ACB8CA} - System32\Tasks\{840C9D5B-53B4-4B56-8E2E-858A078FCA42} => pcalua.exe -a "C:\Program Files (x86)\SMRecorder\uninst.exe" Task: {318575CD-9B60-412F-909F-DFE2E55C9870} - System32\Tasks\ggQzCxMgxBiMEWDIy => C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy.exe Task: {675FB88B-B10D-46C7-85E2-1BEDCD2DD6F0} - System32\Tasks\Sony Corporation\VAIO Control Center\NetworkSetting\NetworkSetting Logon Start => C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkClient Task: {752D2124-798C-45B1-892F-34EA1F27B5D2} - System32\Tasks\{8251F3EA-288E-42B0-9684-35ACD4D7B518} => pcalua.exe -a C:\Users\Jakub\AppData\Local\9BB10050-1447280559-11E2-A8A4-3C0771764B39\Uninstall.exe Task: {89DC8B76-0FD1-468B-9887-87BE0BB2F195} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002Core => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: {977ABFC5-EDE2-426E-9D45-C3D7A6659954} - System32\Tasks\{1CD37C89-F870-4092-B42D-EC63EF276F21} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.13.0.104&LastError=12002 Task: {B4EEBB56-C0CF-4085-A8CC-8E8009629BBD} - System32\Tasks\Touch Builder => Rundll32.exe "C:\Users\Jakub\AppData\Local\Touch Builder\xBin\TouchBuilder.dll",#3 Task: {B9853A46-5480-4D70-A2D9-09ED646F0EA8} - System32\Tasks\Sony Corporation\VAIO Care\UpdateContacts => %ProgramData%\Sony Corporation\VAIO Care\UpdateContacts.exe Task: {C7871011-B2FA-42DA-9FC1-F4DB83532442} - System32\Tasks\n0MqUdXPr9LlfCUYNu0d10 => C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10.exe Task: {EC872F2F-084B-45C6-8840-B5238FBE55BC} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002UA => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: {EFD0663C-6BB5-4471-8614-12706D79648F} - System32\Tasks\{1E8A2FC3-87F1-405A-B863-FD586D5D7088} => pcalua.exe -a C:\Users\Jakub\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: C:\WINDOWS\Tasks\ggQzCxMgxBiMEWDIy.job => C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002Core.job => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-2053194998-3405878221-685674103-1002UA.job => C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\n0MqUdXPr9LlfCUYNu0d10.job => C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10.exe HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [Google Update] => "C:\Users\Jakub\AppData\Local\Google\Update\GoogleUpdate.exe" /c HKU\S-1-5-21-2053194998-3405878221-685674103-1002\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\chomikbox.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\SkyDriveShell.dll Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AC}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AD}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\SkyDriveShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej). CustomCLSID: HKU\S-1-5-21-2053194998-3405878221-685674103-1002_Classes\CLSID\{F8071786-1FD0-4A66-81A1-3CBE29274458}\InprocServer32 -> C:\Users\Jakub\AppData\Local\Microsoft\SkyDrive\16.4.6013.0910\amd64\FileSyncApi64.dll => Brak pliku GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-2053194998-3405878221-685674103-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130917278024481883&GUID=45E76245-E4E9-4DBF-8456-707494D2EDB3 URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!B47960E2D889DD55984943B04E3AA048B479.js" FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!B47960E2D889DD55984943B04E3AA048B479.js [2015-11-11] FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [brak pliku] FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: @tools.google.com/Google Update;version=3 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [brak pliku] FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: @tools.google.com/Google Update;version=9 -> C:\Users\Jakub\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll [brak pliku] FF Plugin HKU\S-1-5-21-2053194998-3405878221-685674103-1002: intel.com/AppUpx64 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll [brak pliku] C:\Program Files (x86)\Sony\MSS C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoFiltre 7 information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoMasque information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\Uninstall PhotoFiltre 7.lnk C:\Users\Jakub\AppData\Roaming\ggQzCxMgxBiMEWDIy C:\Users\Jakub\AppData\Roaming\n0MqUdXPr9LlfCUYNu0d10 C:\Users\Jakub\AppData\Roaming\Mozilla\plugins C:\Users\Jakub\AppData\Roaming\Opera Software C:\Users\Jakub\AppData\Roaming\SoftOrbits C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SkyDrive.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stronghold 3.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenIV C:\Users\Jakub\Desktop\Kuba\Steam.lnk C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\AIMP3.lnk C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\Cool Edit Pro 2.1.lnk C:\Users\Jakub\Desktop\Kuba\Projekty\PROGRAMY\energyXT 2.5.lnk C:\Users\Jakub\Music\muzyka1\ASIO4ALL v2 Instruction Manual.lnk C:\Users\Jakub\Music\muzyka1\Audacity.lnk C:\Users\Jakub\Music\muzyka1\energyXT 2.5.lnk C:\Users\Jakub\Music\muzyka1\Samplitude Pro X Download Version.lnk C:\Users\Public\QiYi C:\Users\UpdatusUser\Desktop\*.lnk C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\SysWOW64\REN*.tmp Folder: C:\results Folder: C:\Update Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "ALLPlayer WiFi Remote" /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Google Update" /f Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Run" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jakie są aktualnie problemy. -
Samoczynne włączanie przeglądarki i czarny ekran przy starcie systemu
picasso odpowiedział(a) na brolkovsky temat w Dział pomocy doraźnej
Proszę przeczytaj zasady działu: KLIK. Tytuł tematu zmieniam. Logi z przestarzałego OTL nie są tu w ogóle już brane pod uwagę, usuwam. Obowiązkowe logi to FRST i GMER. PS. Logów z AdwCleaner nie usuwaj, ma być wiadome co program znalazł. -
Wirus zablokował mi pliki - helpme@freespeechmail.org
picasso odpowiedział(a) na Betty66 temat w Dział pomocy doraźnej
No cóż, to jest jakiś wariant. Ale najpierw zaczęłabym od czegoś innego, a zajmie Ci to sporo czasu. Sprawdzić wszystkie które mają w oknie status "Decrypted" czy naprawdę działają po odkodowaniu, bo może się zdarzyć że coś jednak nie będzie działać. Następnie wszystkie te które mają status "Processing error" skopiować na jakiś zewnętrzy nośnik do późniejszego dekodowania. -
Brak oznak infekcji, a wpisami szczątkowymi nie ma co się zajmować na razie. Temat przenoszę do stosowniejszego działu: 1. ... czyli Hardware. W Dzienniku zdarzeń powtarza się poniższy błąd. Dostarcz dane wymagane działem: KLIK. Dziennik System: ============= Error: (11/11/2015 09:14:09 AM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Error: (11/11/2015 09:11:12 AM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. Error: (11/11/2015 09:11:12 AM) (Source: atapi) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort0. 2. Sugestie dotyczące części software: ----> Problem z wieszaniem może generować także Kaspersky Internet Security per se. Warto sprawdzić co się stanie po jego całkowitej tymczasowej instalacji. ----> System jest w ogóle nieaktualizowany, brak SP1 i reszty, co może mieć jakiś wpływ: Platform: Windows 7 Home Premium (X64) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: FF)
-
Wirus zablokował mi pliki - helpme@freespeechmail.org
picasso odpowiedział(a) na Betty66 temat w Dział pomocy doraźnej
Tak, duplikaty są spodziewane. Dekoder zabezpiecza się na wypadek niepowodzenia. Nie usuwa zaszyfrowanych wersji i tworzy wersje niezaszyfrowane. Te wszystkie zaszyfrowane pliki to usunę hurtowo za pomocą FRST, ale zanim to nastąpi musisz mi potwierdzić, że Kaspersky odkodował wszystko i że odkodowane pliki działają. Na obrazku widać, że wykryto więcej plików niż odkodowano, a wiele wystąpień ma opis "Processing error" (= błąd przetwarzania) i nie nie wiem do czego to podciągnąć (brak miejsca na dysku? inne powody?). -
Temat przenoszę do działu Sieci. Nic tu nie wskazuje na problem infekcji. 1. Pierwszy podejrzany to Norton Internet Security (wbudowany firewall i filtry sieciowe), stary - sterowniki z roku 2013. Rozpocznij od jego deinstalacji via Panel sterowania. Następnie jeszcze z poziomu Trybu awaryjnego popraw narzędziem Norton Removal Tool. 2. Jeśli nie będzie rezultatów, dostarcz dane wymagane działem Sieci: KLIK.
-
Jesteś kolejną osobą, która zgłasza taki komunikat. Nie mam pojęcia jak on wygląda, ale opis sugeruje komunikat-fałszywkę. W systemie nie ma żadnych oznak infekcji wirusem Sality, ani innym. SalityKiller zawsze będzie raportował na czystym systemie "executed registry scripts: 1", gdyż importuje do rejestru pewne wpisy niezależnie od tego czy faktycznie są one naruszone. Do wykonania tylko: 1. Napraw minimalny błąd WMI numer 10 narzędziem Fix-it: KLIK. 2. Odinstaluj starsze wersje: Acrobat.com, Adobe AIR, Adobe Reader 9. 3. Operacje "kosmetyczne", tzn. usunięcie szczątków programowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,C:\Program Files (x86)\kloudian\logonsession.exe, S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 MSICDSetup; \??\K:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\K:\NTIOLib_X64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {25C535D5-92F5-48FD-8E6C-ECCD7D5C1667} - System32\Tasks\{8AAF94F4-7EE7-4107-88E1-89E0576385B3} => Firefox.exe hxxp://ui.skype.com/ui/0/6.16.0.105/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {575E7965-CF3F-4A3C-AF7F-EB59E99BB48F} - \{8EA65034-8118-4C2D-95DD-9BCE11D1F56F} -> Brak pliku Task: {8EFEB094-5925-494D-AF59-0631BE7648F7} - System32\Tasks\{E57E7529-9B7D-4E9E-A586-B2D1DAC2B6E1} => pcalua.exe -a "H:\Programy\Encyklopedia Zjawisk Paranormalnych\ezp2.exe" -d "H:\Programy\Encyklopedia Zjawisk Paranormalnych" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Arabian Nights C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kloudian C:\Users\Kise\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kise\AppData\Local\Microsoft\Windows\GameExplorer\{4EF42243-4F51-45C5-A049-7790D5E7EB05} C:\Users\Kise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSub C:\Users\Kise\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\mpowerplayer C:\Users\Kise\AppData\Roaming\Microsoft\Word\Nowy%20Microsoft%20Word%20Document304811701351814455\Nowy%20Microsoft%20Word%20Document.docx.lnk C:\Users\Kise\Documents\troche smieci\Easy Video Joiner.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gesture" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.
-
Bajzel po programie - reklamy, okna cmd przy uruchamianiu przeglądarki
picasso odpowiedział(a) na knugi temat w Dział pomocy doraźnej
Przez SHIFT+DEl (omija Kosz) skasuj pobrany FRST, jego logi oraz folder C:\FRST. To tyle. Temat rozwiązany. Zamykam. -
Wszysto pomyślnie przetworzone, problem powinien ustąpić. Ostatni skrypt do FRST - do Notatnika wklej: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\ProgramData\RogueKiller Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
-
Pojawienie się reklam i przekierowanie na strony z grami
picasso odpowiedział(a) na jerry1959 temat w Dział pomocy doraźnej
Kolejna porcja. Wklej do Notatnika: DeleteKey: HKCU\Software\ArenaHD DeleteKey: HKCU\Software\DAILYPCCLEAN DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\HighDefAction DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\MyBestOffersToday DeleteKey: HKCU\Software\StartSearch DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\vShare.tv DeleteKey: HKCU\Software\YorkNewCin DeleteKey: HKCU\Software\AppDataLow\Software\Crossrider DeleteKey: HKCU\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExd DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\amiupdaterExi DeleteKey: HKLM\SOFTWARE\ArenaHD DeleteKey: HKLM\SOFTWARE\HighDefAction DeleteKey: HKLM\SOFTWARE\im-dosearch DeleteKey: HKLM\SOFTWARE\SAKURA DeleteKey: HKLM\SOFTWARE\seekmx DeleteKey: HKLM\SOFTWARE\ShopperPro DeleteKey: HKLM\SOFTWARE\YorkNewCin DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\Crossrider DeleteKey: HKLM\SOFTWARE\Wow6432Node\AppDataLow\SOFTWARE\_CrossriderRegNamePlaceHolder_ DeleteKey: HKLM\SOFTWARE\Wow6432Node\eSafeSecControl DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\SP Global DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tutorials DeleteKey: HKLM\SOFTWARE\Wow6432Node\YorkNewCin DeleteKey: HKLM\SOFTWARE\Wow6432Node\HighDefAction DeleteKey: HKLM\SOFTWARE\Wow6432Node\oursurfingSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\ArenaHD DeleteKey: HKLM\SOFTWARE\Wow6432Node\im-dosearch DeleteKey: HKLM\SOFTWARE\Wow6432Node\seekmx DeleteKey: HKLM\SOFTWARE\Wow6432Node\Crashhd DeleteKey: HKLM\SOFTWARE\Wow6432Node\SAKURA DeleteKey: HKLM\SOFTWARE\Wow6432Node\NetTcpHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61AB12E1-A5FF-11D1-B2E9-444553540000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D879A501-50A7-BEFC-A4C5-32DC6E0CB208} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\ShopperPro.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{EE171732-BEB4-4576-887D-CB62727F01CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SU DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GLOBALUPDATE.EXE DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler DeleteKey: HKU\S-1-5-18\Software\AppDataLow\Software\_CrossriderRegNamePlaceHolder_ DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Installer DeleteKey: HKU\S-1-5-18\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ RemoveDirectory: C:\ProgramData\BurrowsEE2siave RemoveDirectory: C:\users\user\AppData\LocalLow\BurrowsEE2siave RemoveDirectory: C:\users\user\AppData\Roaming\NCdownloader CMD: del /q "C:\Users\user\Downloads\kavremvr 2015-11-09 18-49-55 (pid 1208).log" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Na początek poczytaj ogólnie skąd ten typ instalacji wchodzi: KLIK. Jeśli chodzi o zabezpieczenie ograniczające takie instalacje (blokujące je), to tam na końcu jest linkowany darmowy program Unchecky. Ponadto, komercyjna wersja MBAM ma strażnika, który także może zatrzymać pewne instalacje. -
Dziwne strony do wyszukiwania - istartsurf.com
picasso odpowiedział(a) na marbach temat w Dział pomocy doraźnej
Fix pomyślnie wykonany. Kończymy: 1. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizacji, brak SP1 + IE11 + reszty łat: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Opera) -
Program pomyślnie wykonał zadanie. Teraz do Notatnika wklej: FF Plugin: @java.com/DTPlugin,version=10.7.2 -> C:\Windows\system32\npDeployJava1.dll [2013-06-14] (Oracle Corporation) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Avira RemoveDirectory: C:\ProgramData\Avira RemoveDirectory: C:\Users\Pawel\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Pawel\Downloads\FRST-OlderVersion Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.
-
Delta homes jako strona startowa
picasso odpowiedział(a) na ankietowani temat w Dział pomocy doraźnej
Wszystkie skróty LNK Firefoxa mają doklejony ten szkodliwy adres. Poza tym, są inne odpadki adware do czyszczenia. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj starsze wersje i inne: Adobe Reader X (10.1.16) MUI, Akamai NetSession Interface, FileViewPro (program typu "PUP"), Shared C Run-time for x64 (odpadek po McAfee). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Natalka\AppData\Roaming\TSv\TSvr.exe [396944 2015-10-26] (tsvr.com) S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.8.130\McCHSvc.exe [235216 2013-10-16] (McAfee, Inc.) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [169632 2015-10-10] (TODO: ) S3 AvastVBoxSvc; C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-3391024131-566000767-83427015-1001\...\Run: [backgroundContainerV2] => "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Natalka\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun Task: {5256E84E-7F90-4F46-812B-39E19F631EA4} - System32\Tasks\Sony Corporation\VAIO Control Center\NetworkSetting\NetworkSetting Logon Start => C:\Program Files (x86)\Sony\VAIO Control Center\NetworkSetting\NetworkClient Task: {622989EB-B345-41BD-B8AE-966268B4E933} - System32\Tasks\{2CECCF90-0393-472F-A502-57E10EF7531E} => pcalua.exe -a "C:\Program Files\Autodesk\Inventor 2013\Setup\pl-PL\Setup\Setup.exe" -d "C:\Program Files\Autodesk\Inventor 2013\Setup\pl-PL\Setup" Task: {75CB9EB2-9A90-475F-B290-CC99D4D9A14F} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5_user => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exe [2014-09-04] (home) Task: {9C704121-CC9F-4249-860D-954A23112B9C} - System32\Tasks\{CA6F4F94-C4BD-48AF-A9D1-CEF0CDACF128} => Firefox.exe hxxp://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Task: {B84704C8-6EE2-45B5-A9BE-9001C7B01DE1} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {BC71856D-AD0F-41FD-8E3A-CBF3BEA71D01} - System32\Tasks\Hoolapp Init => C:\Users\Natalka\AppData\Roaming\HOOLAP~1\Hoolapp.exe Task: {C636054B-81C3-4FA7-906E-207BDDEE9C61} - System32\Tasks\Hoolapp For Android => C:\Users\Natalka\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE Task: {FCAE40D8-1E64-4F77-860C-EEC57F7DD62A} - System32\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5 => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exe [2014-09-04] (home) Task: C:\WINDOWS\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.job => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exeʴ/runupdater /agentregpath='TheHDvid-Codec V10' /appid=63315 /srcid='001824' /subid='0' /zdata='0' /bic=66202D008EFA497EBE34C6F3F89ACBE3IE /verifier=58a3029d02d024f72cbbff4c8c5dd581 /installerversion=1_34_08_12 /installationtime=1409852852 /statsdomain=hxxp:/stats.loadgenclientservice.com /errorsdomain=hxxp:/errors.loadgenclientservice.com /geoserviceurl=hxxp:/ipgeoapi.com/ /updatejsondomain=hxxp:/update.loadgenclientservice.com /sid=S-1-5-21-3391024131-566000767-83427015-1001 /updaterversion=6 /monetizationdomain=hxxp:/logs.loadgenclientservice.com /autoupdateulr='hxxp:/update.loadgenclientservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5_user.job => C:\Program Files (x86)\TheHDvid-Codec V10\d2b97613-b3c0-43b9-944e-c7f2a7670ca3-5.exeʾ/runupdater /agentregpath='TheHDvid-Codec V10' /appid=63315 /srcid='001824' /subid='0' /zdata='0' /bic=66202D008EFA497EBE34C6F3F89ACBE3IE /verifier=58a3029d02d024f72cbbff4c8c5dd581 /installerversion=1_34_08_12 /installationtime=1409852852 /statsdomain=hxxp:/stats.loadgenclientservice.com /errorsdomain=hxxp:/errors.loadgenclientservice.com /geoserviceurl=hxxp:/ipgeoapi.com/ /updatejsondomain=hxxp:/update.loadgenclientservice.com /sid=S-1-5-21-3391024131-566000767-83427015-1001 /updaterversion=6 /monetizationdomain=hxxp:/logs.loadgenclientservice.com /autoupdateulr='hxxp:/update.loadgenclientservice.com/updater_agent_updates/{CAMP_ID}/update.jso ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX ShortcutWithArgument: C:\Users\Natalka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1446228267&z=5d76b4c59bc16e7826dbf1dg8zfzcq6o3o8b4e2z2c&from=ient07031&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\default_newtabff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Natalka\AppData\Roaming\Mozilla\Firefox\Profiles\wsb4lyav.default-1429948271931\extensions\defsearchp@gmail.com => nie znaleziono FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files (x86)\Sony\MSS\3.8.130\npMcAfeeMss.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1409852958&from=ild&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3391024131-566000767-83427015-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3391024131-566000767-83427015-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3391024131-566000767-83427015-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 URLSearchHook: HKU\S-1-5-21-3391024131-566000767-83427015-1001 - (Brak nazwy) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - Brak pliku SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.delta-homes.com/web/?type=ds&ts=1434037603&z=ec67a450f7cc0ff4fb07aacgaz5cbz7e1c0m9w9t8z&from=ient06110&uid=HitachiXHTS543232A7A384_E20342BL0PMS5M0PMS5MX&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {66B640F2-A14B-4A7D-829F-0E634975CFD3} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {7473b6bd-4691-4744-a82b-7854eb3d70b6} -> Brak pliku BHO-x32: Brak nazwy -> {8CF5CC94-DA79-208C-65F6-9F342A7EE5C3} -> Brak pliku BHO-x32: Brak nazwy -> {8D254E8F-21B5-D7F8-903C-73C85E7A1433} -> Brak pliku Toolbar: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> Brak nazwy - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - Brak pliku Toolbar: HKU\S-1-5-21-3391024131-566000767-83427015-1001 -> Brak nazwy - {25E2E5C9-C43C-4EE8-B23E-4383915F2BCE} - Brak pliku CustomCLSID: HKU\S-1-5-21-3391024131-566000767-83427015-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Natalka\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\SFK C:\Program Files (x86)\Sony\MSS C:\Program Files (x86)\TheHDvid-Codec V10 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\MailUpdate C:\ProgramData\Temp C:\Users\Natalka\AppData\Local\Conduit C:\Users\Natalka\AppData\Local\CRE C:\Users\Natalka\AppData\Local\GG C:\Users\Natalka\AppData\Local\Google C:\Users\Natalka\AppData\Roaming\MailUpdate C:\Users\Natalka\AppData\Roaming\TSv C:\Users\Natalka\AppData\Roaming\Autodesk\Autodesk Robot Structural Analysis Engine 2012Q4\CfgUsr\defcfg.lnk C:\Users\Natalka\Links\GG dysk.lnk C:\Users\Natalka\Documents\PITy 2012.lnk C:\Users\Natalka\Documents\Inventor\Default.lnk C:\WINDOWS\SysWOW64\pl.html Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C3F3165C-74D3-6FDB-3274-14FDA8698CFA} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E5B7E1B4-21FC-6765-A3D7-BA0416DC6AF7} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg query HKU\S-1-5-21-3391024131-566000767-83427015-1001_Classes\CLSID\{0215A4C0-5431-4FD0-9B06-46589B5C4939} /s Reg: reg query HKU\S-1-5-21-3391024131-566000767-83427015-1001_Classes\CLSID\{1E5724EA-3423-4BD3-ABD6-46E650D2DC66} /s CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Poza tym, jest dużo wpisów CustomCLSID z odczytem "brak pliku" od zainstalowanych aplikacji Autodesk. Podejrzewam tu fałszywy alarm FRST. Zrób więc jeszcze szukanie w FRST. Uruchom FRST, w polu Szukaj wklej co poniżej i klik w Szukaj plików. Dostarcz wynikowy log. axdb.dll;AcETransmit.dll -
Ten obrazek jest strasznie mały i nic nie widzę. Pro forma podmień załącznik. Z raportów jest wiadomo co się dzieje. W Google Chrome został zainstalowany przemocą EasyCalendar, który produkuje reklamy. Prócz tego są różne inne odpadki adware oraz wpisy puste którymi się zajmę. Akcje do wdrożenia: 1. Przez Panel sterowania odinstaluj: stare wersje Java 7 Update 71, Mozilla Firefox 35.0 (x86 pl), Mozilla Maintenance Service, program posługujący się platformą monetyzacji OpenCandy SnapPea oraz wątpliwy skaner SpyHunter. Doczyszczanie po zainfekowanym Firefox będzie w poniższym skrypcie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-612798577-3822474249-2596022128-1000\...\MountPoints2: {4722c330-632f-11e3-8083-00221589ebbb} - F:\Startme.exe BootExecute: autocheck autochk * bootdelete S2 Crypkey License; crypserv.exe [X] S1 NetworkX; \SystemRoot\system32\ckldrv.sys [X] Task: {095AE438-701D-42ED-BB75-F58D51C4F555} - System32\Tasks\{12F4263F-55F3-42DA-9E90-A62938227B3B} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {1C588E06-9820-4ADC-A334-6BCAC4EA9420} - System32\Tasks\{1438124C-7BCF-4FF7-843C-2EA448D73A34} => pcalua.exe -a "E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee\sPoLszczenie ACDSee Pro 3.0.475.PAWJ-ShK.exe" -d E:\Torrenty\Ukończone\PROGRAMY\ACDSee\ACDSee\ACDSee Task: {1EFC9D87-5FD1-49D1-A4D0-72061EAEC302} - System32\Tasks\EDWdrvBC7nxHAK6nkILwXTK => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe Task: {24013FEA-BC3D-4A89-B666-8B1F65D60F39} - System32\Tasks\{D456FA87-8349-4611-A028-B384936FEE7F} => H:\setup.exe Task: {4A0E5B4B-7D45-41CE-B4D3-16E38A958AE7} - System32\Tasks\{FEBACA02-ADF1-4A19-A21C-7162D0E89545} => pcalua.exe -a E:\Pobrane\mp210swin101ea24.exe -d E:\Pobrane Task: {5F445052-B07D-453A-BB79-59B99D819B24} - System32\Tasks\RNfYTxh => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe Task: {70B44171-B880-4C28-A299-7CA05E5115C8} - System32\Tasks\{A918531F-9FE0-4549-9DC3-0572FE17AE98} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {73FAB1C7-2B0D-436A-A132-E8FFB9B6F262} - System32\Tasks\{FED5604B-CFD8-4B18-BE13-6D55F2AD97A2} => pcalua.exe -a E:\Pobrane\mp210swin64101ea24.exe -d E:\Pobrane Task: {99EEEDEC-1B9F-4774-BB49-95569C1EB399} - System32\Tasks\{19F33986-5307-44AD-A2BD-6F6D8189439B} => pcalua.exe -a H:\setup.exe -d H:\ -c /autorun Task: {9CC011FA-37A5-4654-8B31-BA4FD6A09368} - System32\Tasks\{F736E8F6-0B04-4201-ABBD-564C95F95AA7} => pcalua.exe -a E:\Pobrane\samurize_1.64.3_2.exe -d E:\Pobrane Task: {B55606C1-03E2-4028-9D36-77B3D3493FF9} - System32\Tasks\{4A4037BE-58CF-4E23-8906-A65889D19609} => E:\Torrenty\Ukończone\epc opel 2009\Alcohol_120_1.9.8.7530\Alcohol120_retail_1.9.8.7530.exe Task: {D3C76578-422F-4BEC-824C-F77E85F35FC0} - System32\Tasks\{903791A1-7891-48D5-903B-C4B1A0EB62FB} => pcalua.exe -a E:\Pobrane\10-2_legacy_vista32-64_dd_ccc.exe -d E:\Pobrane Task: {FC848E6E-EE5A-4873-B62D-A0091A056EE0} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: C:\Windows\Tasks\EDWdrvBC7nxHAK6nkILwXTK.job => C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK.exe Task: C:\Windows\Tasks\RNfYTxh.job => C:\Users\nostra\AppData\Roaming\RNfYTxh.exe C:\Program Files (x86)\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gmail Notifier C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ophcrack C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Samsung\Samsung Story Album Viewer\Samsung Story Album Viewer.lnk C:\Users\nostra\AppData\Local\Temp*.html C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\nostra\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\nostra\AppData\Local\Mozilla C:\Users\nostra\AppData\Roaming\EDWdrvBC7nxHAK6nkILwXTK C:\Users\nostra\AppData\Roaming\RNfYTxh C:\Users\nostra\AppData\Roaming\Mozilla C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Samsung Story Album Viewer.lnk C:\Users\nostra\Desktop\Continue Avidemux installation.lnk C:\Users\Public\Desktop\ophcrack.lnk C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Windows\pss\Client Default.lnk.Startup C:\Windows\pss\wandoujia_helper.lnk.Startup C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Client Default.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^nostra^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^wandoujia_helper.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ToolbarTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xwidget" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj stary Ultimate YouTube Downloader. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\nostra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.
-
AdwCleaner znalazł dużo szczątków adware. Uruchom program ponownie. Tym razem wybierz kombinację opcji Skanuj + Usuń i dostarcz wynikowy log z usuwania.
-
Wyskakujące w nowych oknach reklamy vol.2 (laptop)
picasso odpowiedział(a) na sigon temat w Dział pomocy doraźnej
Wszystko pomyślnie zrobione, widać już prawidłowe adresy DNS. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1 CMD: del /q C:\Users\Sigon\Downloads\z4cfbo9b.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E3972092-C2EA-46AE-AC2E-C8D41F362280}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.