picasso

Został użyty przestarzały FRST, najnowsza wersja jest z dzisiaj: Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja:24-08-2015 W routerze są skonfigurowane poniższe serwery DNS, ten pierwszy jest z polski: KLIK. Nie jest jednak wykluczone, że adres jest pochodną infekcji. Układ z parą jakiś DNS + DNS Google jest podejrzany, takie pary z wykorzystaniem adresu Google jako "zapasowego" są ostatnio charakterystyczne dla infekcji. Tcpip\Parameters: [DhcpNameServer] 80.72.37.106 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj zbędny Akamai NetSession Interface (downloader m.in. produktów Autodesk) oraz stare Gadu-Gadu 10. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM-x32 -> DefaultScope - brak wartości StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Homepage: hxxps://www.malwarebytes.org/restorebrowser/ ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll Brak pliku C:\Program Files (x86)\mozilla firefox\plugins CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Pobierz najnowszy FRST z przyklejonego tematu: KLIK. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podsumuj na czym stoimy.

Na początek wystarczą raporty z FRST (trzy pliki mają powstać), GMER na razie opuść.

Jeśli chodzi o DNS, to prawdopodobnie są one zmodyfikowane na poziomie routera. Bez raportów nie jesteśmy w stanie nic sprawdzić. Można narzędzia pobrać na innym komputerze i za pomocą pendrive przenieść, podobnie z wynikowymi logami.

W rejestrze są nazwy systemowe c2cautoupdatesvc i c2cpnrsvc. W services.msc są nazwy wyświetlane: Skype Click to Call Updater + Skype Click to Call PNR Service. Alternatywnie, możesz całkowicie odinstalować Skype Click to Call, jeśli nie używasz tego komponentu.

Nie podawałam, by usuwać Total Commander, to były luźne spekulacje. Nie dojdę do tego skąd te klucze w systemie, skoro upierasz się, że programy nie było instalowane. One na pewno nie są związane z żadną szkodliwą działalnością. Usuń te klucze. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\7-Zip DeleteKey: HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ANotepad++64 DeleteKey: HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\7-Zip DeleteKey: HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Na zakończenie wykonaj te kroki: 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. W Dzienniku zdarzeń jest drobny błąd WMI. Usuń go posługując się narzędziem Fix-it: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Dr. Web został odinstalowany, możesz go przywrócić.

Wg raportu FRST program jest widziany pod nazwą "Ace Stream Media", no chyba że log nie odpowiada już bieżącej sytuacji: Ace Stream Media 3.0.12 (HKU\S-1-5-21-852027150-3746939963-293083505-1001\...\AceStream) (Version: 3.0.12 - Ace Stream Media) Nie, eksport rejestru przecież pobrałam via FRST. Tylko punkt 3 z poprzedniego posta. Wpisy są w menu kontekstowych i nie widzę innej możliwości niż ta, że te programy musiały być w systemie. Tak się zastanawiam czy niektóre wpisy nie są przypadkiem pochodną instalacji Total Commander (on ma powiązania oraz pluginy do 7-zip i Notepad++). HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\7-Zip (Default) REG_SZ {23170F69-40C1-278A-1000-000100020000} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ANotepad++64 (Default) REG_SZ {B298D29A-A6ED-11DE-BA8C-A68E55D89593} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\7-Zip (Default) REG_SZ {23170F69-40C1-278A-1000-000100020000} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} Podaj mi jeszcze skan na klasy powiązane z tymi wpisami. Do Notatnika wklej: Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{23170F69-40C1-278A-1000-000100020000} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{4A7C4306-57E0-4C0C-83A9-78C1528F618C} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{B298D29A-A6ED-11DE-BA8C-A68E55D89593} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: - Usuń folder "Stare dane programu Firefox" z Pulpitu oraz pobrane narzędzia Fix-it Microsoftu. - Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Kolejność powinna być następująca: w pierwszym podejściu poprawne deinstalacje wszystkich podejrzanych / nieznanych / świeżo dodanych programów > następnie w każdej przeglądarce po kolei czyszczenie za pomocą opcji własnych przeglądarki (menedżery rozszerzeń oraz funkcje resetów) > na końcu AdwCleaner i podobne. Ta kolejność jest dyktowana tym, iż AdwCleaner ma mimo wszystko ograniczenia oraz nie prowadzi poprawnej deinstalacji programów adware, tylko je siłą usuwa (gdy brak czegoś w definicjach, nie zostanie usunięte). Potencjalne skutki uboczne to pozostawienie większej ilości śmieci w rejestrze, które mogłaby zlikwidować normalna deinstalacja.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Proszę dołącz go, poniewać muszę wiedzieć czy są skróty deinstalacyjne adware Tencent.

AdwCleaner znalazł tylko szczątki. Do wykonania: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku alternatywne nieaktywne profile Firefox: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573 C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xxxzw0ev.default [Nie usuwaj przypadkiem folderu ujnazjox.default-1444154322471 - to jest Twój bieżący profil.] 2. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Skanuj + Usuń i dostarcz wynikowy log z usuwania.

Podałaś mi jakiś potwornie stary log utworzony kilka lat temu przez archaiczną wersję AdwCleaner: # AdwCleaner v1.702 - Logfile created 07/17/2012 at 09:47:13 Dostarcz proszę najnowszy.

Za późno zedytowałam post i dwa zmodyfikowane przez hijackera skróty nie zostały naprawione. 1. Drobna poprawka. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 RemoveDirectory: C:\ProgramData\9WdsManPro9 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. 2. Uruchom AdwCleaner. Wybierz tylko opcję Skanuj (nie używaj Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kolejna porcja zadań do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Crashhd; C:\Users\Admin\AppData\Local\Crsoft\crsvc.exe [185800 2015-09-25] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-06] (TODO: ) R2 WdsManPro; C:\ProgramData\OWdsManProO\WdsManPro.exe [442504 2015-10-06] (DTools LIMITED) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76309459.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76309459.sys => ""="Driver" HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.mystartsearch.com/?type=sc&ts=1444123955&z=5b2835e564fd33b41aee15dg6z8zbz9gdo5cem0z3m&from=cmi&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=5QE06E4W_ST3200820AS&tm=1444114453 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Feed Notifier RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\OWdsManProO RemoveDirectory: C:\Users\Admin\AppData\Local\Crsoft RemoveDirectory: C:\Users\Admin\AppData\Local\Google RemoveDirectory: C:\Users\Admin\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Admin\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Windows\System32\Tasks\Doctor Web CMD: del /q C:\task.vbs CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q C:\Users\Admin\Desktop\dqhvz4gw.exe CMD: del /q C:\Users\Admin\Desktop\tdsskiller.exe CMD: del /q C:\Users\Admin\Downloads\mi0y0pdr.exe CMD: del /q C:\Users\Admin\Downloads\bkxhyn0q.exe CMD: del /q C:\Users\Admin\Downloads\q774qvyd.exe CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Tym razem nieprzechodź w Tryb awaryjny. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

To nie jest problem infekcji. Temat przenoszę. Skoro to komputer wykazujący niedobre objawy nawet po formatowaniu, to na diagnostykę do działu Hardware. Zasady działu: KLIK. PS. Na wszelki wypadek spytam: czy system był sprawdzany bez żadnego antywirusa na pokładzie?

Tak, ten instalator może zostać zastosowany.

Sądzę, że jest to wątek sprzętowy do analizy w dziale Hardware - dostarcza się tam inne dane orientowane sprzętowo. Wszystko gładko poszło, log wynikowy wygląda dobrze. Poprawki: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Pro Evolution Soccer 2013 > Dalej. 2. Napraw drobny błąd WMI w Dzienniku zdarzeń posługując się narzędziem Fix-it: KLIK. 3. AdwCleaner grzebał w Firefox. Proponuję go dla pewności przeczyścić dokładniej: Odłącz synchronizację (o ile włączona): KLIK. Menu Historia > Wyczyść historię przeglądania Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Otwórz Notatnik i wklej w nim: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [320120 2014-06-01] (Duplex Secure Ltd.) RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\McAfee Security Scan RemoveDirectory: C:\Users\Szef\AppData\Local\GG RemoveDirectory: C:\Users\Szef\Desktop\FRST-OlderVersion CMD: del /q C:\AVScanner.ini CMD: del /q C:\Users\Szef\Downloads\pctegmzx.exe CMD: del /q C:\Users\Szef\AppData\Roaming\PnkBstrK.sys CMD: del /q C:\Windows\System32\Drivers\sptd.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hidder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wgp" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. 5. Zainstaluj najnowszą wersję Google Chrome. Link w przyklejonym: KLIK. 6. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Większość obiektów adware pomyślnie usunięta (niektóre się zregenerowały), ale tu definitywnie nadal prace nas czekają. Po pierwsze, ten komunikat może rzeczywiście pochodzić z jakiegoś zawieszonego w tle procesu deinstalacji, który blokuje kolejne. Zresetuj system. Następnie uruchom Menedżer zadań i upewnij się że w procesach nie działa msiexec.exe lub jakiś inny proces mający nazwy sugerujące procesy (de)instalacyjne (np. setup.exe, uninstall.exe). Ewentualnie widoczne procesy zabij. Po drugie, widzę na obrazku, że w trakcie tego procesu reagował rezydent Dr. Web. Prawdopodobnie uszkodził któryś deinstalator "neutralizując zagrożenia". Spróbuj ponowić próbę deinstalacji przy wyłączonym Dr. Web, choć mam wątpliwości czy to coś da w obecnym stanie. Jeśli uda się przeprowadzić deinstalacje, zrób nowe raporty FRST. Jeśli nie, poprzednie logi są wystarczające do kontynuacji i zajmę się siłowym usunięciem programów.

Tak sądziłam (log na to wskazywał), że problem "Ads by name" był już nieaktualny. Fix tym razem już dokończył sprawy. Nic więcej nie widać do usuwania. Kończymy: 1. Usuń ręcznie te obiekty z dysku: C:\MATS C:\Users\MAGDA\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe C:\Users\MAGDA\Downloads\program FRST 2. Skorzystaj z DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader: KLIK.

Nie odpowiedziałaś na pytanie: A Fix FRST nie został poprawnie wykonany, w związku z tym nie przetworzone pewne wejścia. Proszę porównaj zawartość mojego posta a plik Fixlog - skrypt został źle zapisany w Notatniku, przełamania linii. Np. w poście widać, że jest pojedyncza linia: IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com A w Notatniku zapisane w dwóch liniach: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com Powtarzaj nieudaną porcję zadania. Otwórz Notatnik i wklej w nim: Task: {F582B5A0-6807-4593-AA40-02B567A16FC1} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3679323292-2381456270-572968583-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 SearchScopes: HKU\S-1-5-21-3679323292-2381456270-572968583-1001 -> {98B4F0C1-E3B7-45CA-845E-48519D6FCDED} URL = IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\All MMO Games.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft C:\Users\MAGDA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Windows\System32\Tasks\netupodtep C:\Windows\system32\Drivers\etc\hp.bak DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\netupodtep Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BitTorrent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v abDocsDllLoader /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f [Tu jest 19 linii, przeklejenie ma zachować ten układ, nic nie może być "podzielone" do kolejnej linii.] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolewjny fixlog.txt. Przedstaw go.

Akcje zostały już podjęte w TDSSKiller - log twierdzi, że zostawiono domyślne akcje, zamiast przyznania Skip. TDSSKiller nie widzi tego zablokowanego obiektu, który GMER klasyfikuje jako "rootkit", a FRST nie potrafi do niego uzyskać dostępu. TDSSKiller wykrył inne rzeczy i nie będzie tu już używany do usuwania. Pierwsza porcja usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: E07249B R1 {b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64; C:\Windows\System32\drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys [48784 2015-10-05] (StdLib) R2 gyvixodu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\hnsaBF84.tmp [203776 2015-10-05] () [brak podpisu cyfrowego] R2 lehicewu; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\jnskA760.tmp [181760 2015-10-05] () [brak podpisu cyfrowego] S2 NetTcpHandler; C:\Users\Admin\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [458400 2015-10-05] (TODO: ) R2 Update Web Amplified; C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe [460536 2015-10-05] () R2 Util Web Amplified; C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe [460536 2015-10-05] () R2 WdsManPro; C:\ProgramData\tWdsManProt\WdsManPro.exe [442504 2015-10-05] (DTools LIMITED) R2 WindowsMangerProtect; C:\ProgramData\9WinManPro9\ProtectWindowsManager.exe [708264 2015-08-17] (DTools LIMITED) R1 wwfd_vt_1_10_0_24; C:\Windows\System32\drivers\wwfd_vt_1_10_0_24.sys [61312 2015-09-02] (WordWizard) R2 wwsvc_1.10.0.24; C:\Program Files (x86)\WordWizard_1.10.0.24\Service\wwsvc.exe [301656 2015-09-02] (WordWizard) R2 xoluboru; C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1\knspC6FD.tmp [346112 2015-10-05] () [brak podpisu cyfrowego] Task: {01850DB9-795D-41EE-B0C4-5242AD333CF9} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {02F0F047-DDAC-44D7-8045-BBC27642C325} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Pending Update => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {047553BA-E03A-4B40-BA0C-1C825F0E77ED} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {07E80383-D18B-4AC8-9859-7AA9F4F050C5} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {45BE8743-9CC1-4E05-9ADA-83703A748B59} - System32\Tasks\MyBrowser => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe [2015-10-05] () Task: {47F8F3E7-CF9F-4F73-9C36-12DAC6B0EE0D} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {4A9F7F78-DA08-4683-81F9-EBA0BED42B79} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe [2015-10-05] (Cinema PlusV05.10) Task: {6BA3F1A0-C70B-4B4C-95F2-B33CBCFBA75D} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe [2015-10-05] (Cinema PlusV05.10) Task: {70ED1F79-0B60-4BD1-80F2-42B8EA1DB06A} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {748891BD-1EE0-4492-84C8-B787579ABEED} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe [2015-10-05] () Task: {826DF2FE-21CC-4C72-AA3C-A89A528F063F} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe [2015-10-05] (Cinema PlusV05.10) Task: {A2EAEC6E-5D8D-4756-8725-D661EF00E3F1} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe [2015-10-05] (Cinema PlusV05.10) Task: {A9E3407B-5730-4DF5-AA87-C6885D5E2F30} - System32\Tasks\AmiUpdXp => C:\Users\Admin\AppData\Local\891\Updater.exe [2015-10-05] () Task: {BB72F97F-B528-437B-BDA2-7E156DBB84D3} - System32\Tasks\{28511603-1814-48B9-843A-AD3AD921E4E5} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cor Task: {CE33C86C-9D85-436C-B85F-0AD03E841D75} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6 => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {D38A480F-DB11-4877-81A9-394D7D46A2D3} - System32\Tasks\WordWizard Auto Updater 1.10.0.24 Core => C:\Program Files (x86)\WordWizard_1.10.0.24\Update\WordwizardAutoUpdateClient.exe [2015-09-02] (WordWizard) Task: {D5D6FA99-2EC1-4729-8BB3-B3F4AA2BBCE7} - System32\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6 => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe [2015-10-05] (Cinema PlusV05.10) Task: {E53D6FE4-6B1D-4090-B03B-D36886CAFFC4} - System32\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe [2015-10-05] (Cinema PlusV05.10) Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-6.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-1-7.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-10_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-10.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-4.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-4.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\6055b7eb-df8d-4281-afd8-560810fc40d7-5_user.job => C:\Program Files (x86)\CinemaPlus-3.2cV05.10\6055b7eb-df8d-4281-afd8-560810fc40d7-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-6.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-1-7.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-10.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-4.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5_user.job => C:\Program Files (x86)\CinemaP-1.9cV05.10\a929e9f6-b235-4ae4-b8e7-591c45f1670d-5.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Admin\AppData\Local\891\Updater.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\MyBrowser.job => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\utility.exe HKLM-x32\...\RunOnce: [update] => C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe [827339 2015-10-05] () HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_3C42015D2638AD59A9C14E09DD1E3050] => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe [770048 2015-05-11] (Crossbrowse) HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\...\Run: [GoogleChromeAutoLaunch_707AB4DC4851505403C8FD2DF14CF292] => C:\Program Files (x86)\MyBrowser\MyBrowser\Application\mybrowser.exe [636928 2015-08-29] (MyBrowser) Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-10-05] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1439816538&z=cf38def759dd46328383db2gez2c4tbbeg7q6zfz1z&from=cor&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\he2y18qx.default-1428045530573\extensions\deskCutv2@gmail.com StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1444065645&z=b310cffeb6e6e55b72f1637g2zfzbzce4qfw1zfc1b&from=face&uid=ST3200820AS_5QE06E4WXXXX5QE06E4W C:\Program Files (x86)\27DAD760-1444063731-11D9-BB64-5404A6A214B1 C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\9WinManPro9 C:\ProgramData\tWdsManProt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser C:\Users\Admin\AppData\Local\27DAD760-1444070982-11D9-BB64-5404A6A214B1 C:\Users\Admin\AppData\Local\891 C:\Users\Admin\AppData\Local\Prompt Downloader C:\Users\Admin\AppData\Roaming\istartsurf C:\Users\Admin\AppData\Roaming\mystartsearch C:\Users\Admin\AppData\Roaming\RunDir C:\Users\Admin\AppData\Roaming\NetService C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyBrowser.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Admin\Desktop\Prompt Downloader C:\Windows\system32\Drivers\{b50d0351-887b-4ba2-b70c-fa22f9790730}Gw64.sys C:\Windows\system32\Drivers\E07249B.sys C:\Windows\System32\Drivers\wwfd_vt_1_10_0_24.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: AnySend, CinemaP-1.9cV05.10, CinemaPlus-3.2cV05.10, Crossbrowse, jogotempo 3.4, MyBrowser, Software Version Updater, Web Amplified, WordWizard 1.10.0.24. I czy Feed Notifier to była celowa instalacja? Jeśli coś nie będzie dało się odinstalować, nie szkodzi, zajmę się tym w inny sposób. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Ustaw Firefox jako domyślną przeglądarkę 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition i Shortcut, oraz GMER. Dołącz też plik fixlog.txt.

Stosowałeś wiele programów czyszczących (AdwCleaner, JRT, ComboFix), z żadnego nie ma raportów co było usuwane. Obecnie widzę tu tylko rozszerzenie adware CinemaP-1.9cV18.09 w przeglądarce Google Chrome. Do przeprowadzenia następujące operacje: 1. Przez Panel sterowania odinstaluj starsze wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Java 8 Update 51, Adobe Reader XI (11.0.12). 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj CinemaP-1.9cV18.09 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-373534036-2264740173-710954582-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> URL hxxp://www.trovigo.com/Results.aspx?gd=&ctid=CT3310393&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SP75585FC2-946A-47A5-9406-9539259CBA05&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-373534036-2264740173-710954582-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear Task: {06222C97-6E66-4EEF-B923-7532FC9AF232} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {12787241-90B8-4CB1-9B8C-8BD30CC06552} - System32\Tasks\{ED5008F4-A0F3-492A-8BC2-36443B1B6EEC} => pcalua.exe -a C:\Users\Gur1\Desktop\TL-WN422G_v2_100611\Setup.exe -d C:\Users\Gur1\Desktop\TL-WN422G_v2_100611 Task: {A633CE49-F393-439C-80CE-7407FEC241B2} - System32\Tasks\Apple Diagnostics => C:\Program Files (x86)\Common Files\Apple\Internet Services\EReporter.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\Users\Gur1\AppData\Local\Mozilla C:\Users\Gur1\AppData\Local\Opera Software C:\Users\Gur1\AppData\Roaming\BitComet C:\Users\Gur1\AppData\Roaming\Mozilla C:\Users\Gur1\AppData\Roaming\Opera Software C:\Users\Gur1\AppData\Roaming\QUJreDgXLf C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi304666634142286040\a%20di%20alessi.csv.lnk C:\Users\Gur1\AppData\Roaming\Microsoft\Excel\a%20di%20alessi%20(1)304671013666581531\a%20di%20alessi%20(1).csv.lnk C:\Users\Gur1\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Gur1\Downloads\Niepotwierdzony*.crdownload C:\Users\Gur1\Links\GG dysk.lnk C:\Users\Gur1\Favorites\GG dysk.lnk C:\Windows\AutoKMS C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Gur1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występuje problem reklam.

W Google Chrome widać przekierowania searchinterneat-a.akamaihd.net oraz polityki blokujące funkcje Google Chrome. Prócz tego będą do usunięcia różne puste wpisy. Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj starsze wersje: Adobe Flash Player 18 ActiveX, Adobe Reader XI (11.0.12) - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> OldSearch URL = hxxp://www.bing.com/search?FORM=SK2MDF&PC=SK2M&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-4151507218-3838123134-1542459132-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF Plugin-x32: @mcafee.com/SAFFPlugin -> C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono S2 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [X] U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 nvUpdatusService; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath U2 Stereo Service; Brak ImagePath C:\Program Files (x86)\GUM65D9.tmp C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\AVAST Software C:\Users\Czytnia1\AppData\Local\Mozilla\Firefox C:\Users\Czytnia1\AppData\Roaming\Mozilla\Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy searchinterneat-a.akamaihd.net oraz inne niedomyślne śmieci (o ile będą). Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Czytnia1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nic w logach nie wskazuje na problemy infekcji. Z raportów nic nie wynika. Jedyne co tu cokolwiek sugeruje, to różne błędy w Dzienniku zdarzeń: Sugestie: 1. Wyłączenie obiektów Samsunga, które są zgłaszane na błędach (Samsung Marker i Easy Settings), przy czym wyłączenie "Easy settings" spowoduje brak Samsungowych menu spod klawiszy funkcyjnych. Uruchom Autoruns i w karcie Scheduled Tasks odznacz to wszystko: Task: {146805B9-D819-4311-A7AB-F49705401CD8} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: {326C9A75-8F92-4E6C-86BA-A97FD030AC0A} - System32\Tasks\SWUpdateAgent => C:\Program Files (x86)\Samsung\SW Update\SWMAgent.exe [2012-08-24] (Samsung Electronics CO., LTD.) Task: {51E78103-3603-44BC-9BAA-07FB4EDE95C9} - System32\Tasks\Settings => C:\Program Files (x86)\Samsung\Settings\sSettings.exe [2012-08-26] (Samsung Electronics CO., LTD.) Task: {539F9EBA-DFAD-4591-8D57-1C10F6CD48CC} - System32\Tasks\MakeMarkerFile => %ProgramData%\MakeMarkerFile.exe Task: {EF4F3440-E4A2-4207-B65E-5ACC5C2A3C61} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe [2012-08-17] (Samsung Electronics CO., LTD.) W karcie Services odznacz Easy Launcher. Zresetuj system. 2. Sprawdzenie poprawności plików systemowych poleceniem. Klawisz z flagą Windows + X > Wiesz polecenia (administrator) > wklep sfc /scannow i ENTER. 3. W przypadku braku rezultatów odświeżenie Windows 8.1: KLIK.

Temat przenoszę do właściwego działu Windows. Brak jakichkolwiek oznak infekcji. Z raportów nic kompletnie nie wynika. Czy problem po stronie dostawcy został wykluczony? Widzę na dysku FixMouseLMB.exe, czyli Left Mouse Button Fix, o którym wspominałam w innym temacie. Mam rozumieć, że jeśli program jest uruchomiony, podwójne kliki i tak się wykonują? Myszka chodzi na sterownikach Microsoftu czy producenta zewnętrznego? Czy próbowałeś zmienić sterowniki? Na razie przychodzi mi do głowy diagnostyka w tym artykule (z pominięciem tego co już próbowałeś): KB266738.

Temat przenoszę do działu Windows. Brak oznak infekcji i bardzo wątpliwe, by to był ten obszar ingerencji. 1. Jeśli chodzi o Firefox i akcelerację sprzętową, to problemem są prawdopodobnie sterowniki graficzne nVidia. Twoje są bardzo stare - daty w logu sugerują rok 2011. Aczkolwiek nie jest pewne czy aktualizacja cokolwiek rozwiąże. NVIDIA Sterownik graficzny 267.54 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver) (Version: 267.54 - NVIDIA Corporation) 2. W Dzienniku zdarzeń rzuca się wielokrotnie nagrany błąd sugerujący uszkodzenia rejestru konta użytkownika: Dziennik Aplikacja: ================== Error: (10/03/2015 04:04:58 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Proponuję dla testu założyć nowe konto użytkownika, zalogować się na nie i sprawdzić czy tam występują określone problemy. PS. Skoro o "lukach" było zagajane, to trzeba się pozbyć tych dziurawców z systemu: Adobe AIR, Java 7 Update 17 (64-bit), Java 7 Update 17, Java™ SE Development Kit 7 Update 1 (64-bit).