picasso

Plik Fixlist.txt jest automatycznie usuwany przez FRST, to jest normalne zaplanowane zadanie i ma na celu zapobiec omyłkowemu uruchomieniu starego niepasującego skryptu. Wszystko wykonane, dziady z pendrive też usunięte: F:\AUTORUN.INF => Moved successfully. "F:\BUBAVII" => removed successfully. Kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. vs. Czy po aktualizacji nadal występują opisywane objawy?

Tak, bo przecież u Ciebie Windows jest w innej nietypowej ścieżce (skutki replikacji dwóch Windowsów na tej samej partycji): C:\WINDOWS1. Czyli uruchamiasz komendę: C:\Windows1\inf\nettcpip.inf

Infekcja nie wygląda już na czynną. Wprawdzie nadal jest zadanie szkodnika w Harmonogramie zadań (zmobdsi), ale puste, bo ComboFix usuwał pliki tymczasowe. Zaszyfrowane pliki nie są groźne per se. Te najcenniejsze na wszelki wypadek sobie skopiuj na zewnętrzny nośnik, bo w poniższym skrypcie FRST będę usuwać wszystkie pliki z sufiksem *.hiywoqd. To nie wygląda ani na skutki infekcji, ani na skutki uruchomienia ComboFix. Nie ma oznak by infekcja była czynna. W logu ComboFix zaś żadnych powiązanych kasacji. Te błędy mogą mieć inne źródło. Czy one przypadkiem nie pojawiły się po użyciu Przywracania systemu? Tu była taka operacja 1 maja - wg logów infekcja grasowała już 18 kwietnia, bo taką datę mają pliki infekcji, więc nawet nie ma punktu z tego zakresu (zapewne wszystkie punkty Przywracania usunęła infekcja). Czy próbowałeś przeinstalować oprogramowanie Intel? 2015-04-18 19:23 - 2015-04-19 15:23 - 05025345 _____ () C:\ProgramData\xgiwnia.html2015-04-18 19:21 - 2015-04-18 19:21 - 00002830 _____ () C:\Windows\System32\Tasks\zbomdsi ==================== Restore Points ========================= 30-04-2015 09:15:42 Zaplanowany punkt kontrolny 01-05-2015 01:06:39 Removed Sentinel Protection Installer 7.3.2 01-05-2015 01:13:25 Removed Microsoft SOAP Toolkit 3.0 01-05-2015 01:15:31 Removed Microsoft Primary Interoperability Assemblies 2005 01-05-2015 01:20:01 Removed Obsługa programów Apple 01-05-2015 01:34:14 Operacja przywracania 03-05-2015 21:14:02 Norton_Power_Eraser_20150503211400700 03-05-2015 21:18:16 Removed Sentinel Protection Installer 7.3.2 03-05-2015 21:24:34 Removed Obsługa programów Apple Dodatkowo, w Dzienniku zdarzeń widzę taki oto "krytyczny błąd sprzętowy" (kompletnie nie związany z infekcją): System errors:============= Error: (05/07/2015 11:43:59 AM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Intel® Rapid Storage Technology niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Error: (05/07/2015 11:42:02 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesora Źródło błędu: 3 Typ błędu: 9 Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Na razie zadaję doczyszczanie szczątków infekcji i adware oraz zaszyfrowanych plików (zakładam, że te istotne już zostały skopiowane na inny dysk niż C i D, gdyż z obu będę wywalać pliki): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg [X] S3 gfiark; system32\drivers\gfiark.sys [X] S2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe -service [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S2 SystemkService; C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {2EC381D0-BC3A-4C71-B78F-CF416D8F2F5E} - System32\Tasks\zbomdsi => C:\Windows\TEMP\opnolca.exe Task: {326E8285-A7C1-435B-99CF-C88E5DE63E22} - System32\Tasks\{A3501C6D-AC9B-4FC7-9143-099DB1CDEDC6} => pcalua.exe -a "D:\Download\Fanuc Roboguide software\Setups\SimPRO\setup.exe" -d "D:\Download\Fanuc Roboguide software\Setups\SimPRO" Task: {603194EC-1D42-430A-9879-22EDD446D077} - System32\Tasks\{AA559635-465B-4E2A-A5C2-7DEF647EBF3C} => pcalua.exe -a "C:\drivers\15. Camera Driver\Setup.exe" -d "C:\drivers\15. Camera Driver" Task: {8A40BC1F-5E24-4026-8D5A-F5980358953B} - System32\Tasks\{356F9C1A-591E-4305-8451-6963B92886F5} => pcalua.exe -a "C:\drivers\11. WLAN Driver (Atheros, Broadcom)\Setup.exe" -d "C:\drivers\11. WLAN Driver (Atheros, Broadcom)" Task: {B9E3FDDF-C75C-47B1-9446-D5F87CA8B23D} - System32\Tasks\{A400D924-21FB-4BEB-9D68-4EA0A327FF26} => pcalua.exe -a "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack\STOPzilla_Setup.exe" -d "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack" Task: {F40B97DA-A72D-429A-9F40-A08503030AFD} - System32\Tasks\{51A274A2-0F15-4DAF-B0EB-F296C89ACBFE} => pcalua.exe -a "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack\activator.exe" -d "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack" Task: {FF044DA3-313C-439F-8EE7-344DBD95DE08} - System32\Tasks\{EDAE1B26-9645-4DF5-8677-46F4BD5569FD} => pcalua.exe -a D:\instalki\Roboguide[6.40.Rev.I][A08B-9410-J605][Academic]\SimPRO\setup.exe -d D:\instalki\Roboguide[6.40.Rev.I][A08B-9410-J605][Academic]\SimPRO HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Classes\exefile: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.6.0.32 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1399488326&from=cor&uid=ST1000LM014-1EJ164_W380R9M9XXXXW380R9M9&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1399488326&from=cor&uid=ST1000LM014-1EJ164_W380R9M9XXXXW380R9M9&q={searchTerms} HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=n360&pvid=21.6.0.32 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12791&tm=361&src=ds&p={searchTerms} BHO-x32: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File Toolbar: HKU\S-1-5-21-2256639088-4162579136-3780625949-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File Toolbar: HKU\S-1-5-21-2256639088-4162579136-3780625949-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\e6t9i0isdghgj nv\AppData\Local\Temp\twsfiles\trustedshopper.crx [Not Found] C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\xgiwnia.html CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\*hiywoqd* /s CMD: attrib -r -h -s D:\*hiywoqd* /s CMD: del /q /s C:\*hiywoqd* CMD: del /q /s D:\*hiywoqd* Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Po pierwsze: to nie były wirusy tylko instalacje adware/PUP. Po drugie: logi przecież mam, nie ma żadnych obiektów adware w stanie czynnym (nie ma źródła rekonstrukcji), przywrócenie sieci na nic nie wpłynie, o ile sam się to tego nie przyczynisz, bo te "wirusy" to własną ręką zatwierdziłeś. Ponadto, istnieje możliwość, że po formacie złapiesz to samo kompletując oprogramowanie: KLIK. Chwilowo nie mam czasu na analizę porównawczą tego ostatniego Fixlog. W międzyczasie możesz wdrożyć te instrukcje i zobaczymy czy sieć wróci.

Akcje pomyślnie wykonane. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Nie rozumiem do czego zmierzasz. Tak, podałam link otwierający stronę AVG, bo stamtąd masz pobrać AVG Remover (AVG Remover(32bit) 2015). Po pobraniu uruchomić. Czy jest z tym jakiś problem? "Protektory" adware już dawno usunięte skryptem FRST. A jeśli chodzi o pasek AVG, to właśnie próbujemy go usunąć narzędziem firmowym, tylko jeszcze tego nie wdrożyłeś...

A dlaczego chcesz likwidować antywirusa? Nie widzę takiej potrzeby w sytuacji, gdy sprawność systemu została odzyskana. Jeśli chodzi o kwarantannę, to jest to obiekt odizolowany i szkodniki nie mogą się z niej samoistnie uruchomić (o ile nie zostanie wywołana opcja przywracania z kwarantanny w miejsce pierwotne), zresztą deinstalacja Avast powinna kwarantannę usunąć. Jeśli Avast nie zostanie odinstalowany, po prostu ją opróżnij z poziomu opcji programu... Jeszcze nie skończyliśmy. Czyszczenie w toku. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCTray.exe" /regrun DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{85E0B1AA-04FA-11D1-B7DA-00A0C90348D6} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{CBDECEF7-7A29-4cbf-A009-2673D82C7BF9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{4C097DF1-0716-4FA1-84A9-025BC1E7B03F} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{7044CE4B-FE34-4DD1-A0FA-157E1E179ECA} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{88260EA6-BC91-42DF-ABEF-4A683E8A3C23} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{91B5E4DE-4C97-41CD-9F94-84BFAABB7371} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\Wow6432Node\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{77FEF28E-EB96-44FF-B511-3185DEA48697} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Baidu DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extension Compatibility\{B580CF65-E151-49C3-B73F-70B13FCA8E86} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\baiduanTray_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduHipsUpdate_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduHips_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduSdSvc_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BaiduSdTray_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\QQPCMgrUpdate_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\tencentdl_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_TAOACCELERATOR DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QMUDISK DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAOKERNELDRIVER DeleteKey: HKLM\SYSTEM\WifiSafeCfg DeleteKey: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{29B6CFD5-0064-411A-8C42-9890C83F9921}\iexplore\AllowedDomains\baidu.com DeleteKey: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Tencent Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts" /v "Baiduan Number(TrueType)" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\AVAST Software\Avast\PUB-Removed" /v 1d08721fc1601d3 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Fonts" /v "Baiduan Number(TrueType)" /f Reg: reg delete "HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\uninst.exe" /f Reg: reg delete "HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCFileOpen.exe" /f Reg: reg delete "HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers" /v "C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCFileOpen.exe" /f C:\Windows\Fonts\baiduan_number_new.ttf EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny fixlog.txt. Pokaż go, nowy skan nie jest mi potrzebny. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Czy obecnie notujesz już poprawę w działaniu systemu? Jak po maśle, wszystkie inwazyjne obiekty poszły do piachu, ostał się tylko jeden pusty wpis Tencent i zajmę się nim. Na razie podaj mi jednak dodatkowe szukanie w rejestrze: Uruchom FRST, w polu Search wklej: baidu;hao123;tencent;QQPCMgr Klik w Search Registry i dostarcz wynikowy log Search.txt.

Konwersję na NTFS jak najbardziej popieram. Ostatni skrypt FRST pomyślnie wykonany. Skan MBAM już był prowadzony. Myślę, że możemy kończyć. Do wykonania znajome kroki (DelFix, czyszczenie folderów Przywracania systemu i aktualizacje): KLIK. Oczywiście aktualizacja całego Windows, bo jest tu dramatyczny poziom: Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 (Default browser: IE)

Przekaż mu, że: - Obiekt 50 FREE MP3s +1 Free Audiobook! to niechciana instalacja typu "PUP" (w linku reputacja tegoż produktu) wprowadzana przez stare wersje WinAmp pod kontrolą AOL (teraz WinAmp należy do Radionomy i nie instaluje syfów AOL). Wątpię, by zainstalował ten "bunus" ręcznie. Na dodatek, tu jest podejrzenie, że to martwe uszkodzone wejście którego się nie da odinstalować wcale, bo brak na liście WinAmp, a ten "bonus" siedzi właśnie w folderze WinAmp: C:\Program Files\Winamp\emusic. - Java 6 to niebezpieczna wersja. Jej pobyt w systemie naraża na infekcje m.in. typu "policyjnego" (zablokowanie dostępu do systemu z planszą okupu). Dlaczego nie chce zainstalować najnowszej wersji Apache OpenOffice 4.x pracującej z Java 7 i 8? Jeśli chodzi o ten pasek AVG, to spróbuj użyć AVG Remover. Po tym zrób nowe raporty FRST (główny + Addition, ale bez Shortcut). W mojej sygnaturze są metody wsparcia. Z góry dzięki za ewentualny odzew!

Miałeś wykonać deinstalacje jako pierwszy krok, w Addition stoją nadal te same obiekty: 50 FREE MP3s +1 Free Audiobook!, AVG Security Toolbar, Java™ 6 Update 22, OpenOffice.org 3.3. W skrypcie załączyłam obiekty AVG do usunięcia zakładając, że deinstalacja się wykonała (w przeciwnym wypadku skrypt odcina możliwość poprawnej deinstalacji). Czy nie dało się odinstalować (błąd / brak widoczności), czy przestawiłeś kolejność zadań?

Zredukowałam liczbę logów, by były tylko najświeższe dane. Fix był uruchamiany dwa razy - jaki powód? Fix jest jednorazowy i nie przetworzy ponownie tego samego. System muli, bo nadal są śmieci aktywne: - W tle działa resztówka od Baidu oraz agresywny Tencent - multum sterowników. W Addition i Shortcut brak powiązanego deinstalatora. Rozumiem, że nie znalazłeś żadnego deinstalatora w jego folderze? Jeśli nie, trzeba będzie usuwać brutalnie. - Nowa niekorzystna zmiana to pojawienie się Smart File Advisor - część instalacji Alcohol 52%. Ten "Advisor" jest trwale zintegrowany w instalatorze Alcohola i ma zszarzone pole wyboru, więc teoretycznie nie da się tego uniknąć. Jest to jednak możliwe: należy podczas instalacji Alcohola odciąć połączenie sieciowe, co uniemożliwi instalację "Advisora". - Przy okazji, Alcohol był pobierany z kilku źródeł, a pobrane pliki w większości to nie instalatory Alcohola tylko downloadery ładujące śmietnisko. Pobierałeś m.in. z (nie)dobrychprogramów.pl, a obecnie portal ten jest dystrybutorem malware w Asystencie pobierania: KLIK. Kolejna porcja działań: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Wspominany Smart File Advisor 1.1.8. On jest sprzężony z Alcoholem i deinstalacja usunie też Alcohol 52%, ale potem sobie go zainstalujesz ponownie z odciętym połączeniem sieciowym. - Nadal widzę stare wersje, które miałeś odinstalować: Java™ 6 Update 22, Java 8 Update 31, OpenOffice.org 3.3. Proszę wykonaj to, stare wersje Java są niebezpieczne, a ten stary OpenOffice nie umie korzystać z innej Java niż 6... ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S3 SWDUMon; C:\Windows\System32\DRIVERS\SWDUMon.sys [16152 2015-01-24] () R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMUdisk64.sys [62264 2015-04-17] (Tencent) R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQPCRtp.exe [297608 2015-05-05] (Tencent) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QQSysMonX64.sys [127800 2015-05-05] (电脑管家) R2 TAOAccelerator; C:\Windows\system32\Drivers\TAOAccelerator64.sys [99640 2015-05-05] (Tencent) S3 TAOFrame; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TAOFrame.exe [293728 2015-05-05] (Tencent) R1 TAOKernelDriver; C:\Windows\System32\Drivers\TAOKernel64.sys [174392 2015-05-05] (Tencent Technology(Shenzhen) Company Limited) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2015-05-05] (电脑管家) R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TS888x64.sys [28984 2015-05-06] (Tencent) R1 TSCPM; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\tscpm64.sys [42296 2015-05-05] (电脑管家) R1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TsDefenseBT64.sys [28472 2015-05-05] (Tencent) R3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-05-05] (电脑管家) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSSysKit64.sys [87352 2015-05-05] (电脑管家) S2 lydeteku; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\nsfEC0E.tmp [X] HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\...\Run: [apphide] => C:\Program Files (x86)\baidu\baidu.exe [65536 2015-04-06] () ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\QMGCShellExt64.dll [2015-04-07] (Tencent) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\TSWebMon64.dat [2015-05-05] (Tencent) BHO-x32: No Name -> {1bb456da-878f-44a5-b013-4bfe0ae02fce} -> No File BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File Task: {756652E3-BAE3-4AE0-9C93-D72337257920} - System32\Tasks\GoogleUpdateTaskMachineUA1d04057e810189 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe AV: 电脑管家系统防护 (Enabled - Up to date) {6F9C3F92-B625-0E47-F0B1-447602EC65F5} AS: 电脑管家系统防护 (Enabled - Up to date) {D4FDDE76-901F-01C9-CA01-7F04796B2F48} C:\Program Files (x86)\baidu C:\Program Files (x86)\Google C:\Program Files (x86)\SlimDrivers C:\Program Files (x86)\Smart File Advisor C:\Program Files (x86)\Tencent C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Common Files\Baidu C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\APN C:\ProgramData\Baidu C:\ProgramData\KingSoft C:\ProgramData\IHProtectUpDate C:\ProgramData\McAfee C:\ProgramData\Orbit C:\ProgramData\Roaming C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\sylwester\AppData\Local\1F97B14F-1430823141-E411-B2A0-F0761C0D1586 C:\Users\sylwester\AppData\Local\CrashRpt C:\Users\sylwester\AppData\Local\ESET C:\Users\sylwester\AppData\Local\Gameo C:\Users\sylwester\AppData\Local\Google C:\Users\sylwester\AppData\Local\Installer C:\Users\sylwester\AppData\Local\SlimWare Utilities Inc C:\Users\sylwester\AppData\Roaming\Baidu C:\Users\sylwester\AppData\Roaming\Dropbox C:\Users\sylwester\AppData\Roaming\Gameo C:\Users\sylwester\AppData\Roaming\KC Softwares C:\Users\sylwester\AppData\Roaming\omiga-plus C:\Users\sylwester\AppData\Roaming\PriceFountain C:\Users\sylwester\AppData\Roaming\systweak C:\Users\sylwester\AppData\Roaming\Tencent C:\Users\sylwester\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\sylwester\Downloads\*(*)-dp*.exe C:\Users\sylwester\Downloads\*Alcohol*.exe C:\Windows\d3dx.dat C:\Windows\system32\roboot64.exe C:\Windows\system32\Drivers\bd0001.sys C:\Windows\System32\Drivers\SWDUMon.sys C:\Windows\system32\Drivers\TAOAccelerator64.sys C:\Windows\System32\Drivers\TAOKernel64.sys C:\Windows\System32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\Drivers\TS888x64.sys Folder: C:\Users\sylwester\AppData\Roaming\InstallShield Reg: reg add HKCR\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg add HKCR\Unknown\shell\opendlg\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f Reg: reg delete HKCR\Unknown\shell\openas\command /v sfa_backup /f Reg: reg delete HKCR\Unknown\shell\opendlg\command /v sfa_backup /f Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_109_is1 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Smart File Advisor_is1" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Wejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz Addition (Shortcut nie jest mi już potrzebny). Dołącz też plik fixlog.txt.

O ile problem nadal aktualny: Infekcja adware (wariant "JS"), co widać już wprost w poście (przeklejone "hyperlinki"). Dostarcz wymagane raporty: KLIK.

Tak, owszem widać adware DiscountExt w Firefox. Nie wiadomo skąd to się wzięło. Nie jestem w stanie się wypowiedzieć na temat www.zobaczto.tv, ale nie wykluczam tego jako źródła. Instalator Hola raczej nie powinien mieć związku, ale wspominasz Softonic (o ile uruchomiono wstrętny "Softonic Downloader"). Akcje do przeprowadzenia: 1. Powtórz te operacje w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie powinna być jeszcze jedna kopia rejestru C:\WINDOWS1\Repair, utworzona zaraz po instalacji Windowsa, nie ma ona żadnych danych na temat instalacji robionych w późniejszym czasie i jej przywrócenie za dużo wyzerowałoby, ale może przyda sę do ekstrakcji selektywnej danych. 1. Na razie zaprezentuj jak wygląda bieżący klucz Tcpip po akcji ComboFix w porównaniu do klucza utworzonego zaraz po instalacji Windows (o ile Repair istieje). Do Notatnika wklej: Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Tcpip /s Reg: reg load HKLM\TEMP C:\WINDOWS1\Repair\SYSTEM Reg: reg query HKLM\TEMP\ControlSet001\services\Tcpip /s Reg: reg unload HKLM\TEMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Potem, zamiast formatu, będzie można jeszcze spróbować brutalnej reinstalacji TCPIP: KLIK.

Omiga w ogóle nie wyczyszczona - działają aktywnie w tle usługi protekcyjne IHProtect Service + WindowsMangerProtect (prawdopodobna przyczyna zamulenia), a także widoczne różne przekierowania. Akcja: 1. Przez Dodaj/Usuń programy odinstaluj zbędniki i stare wersje: 50 FREE MP3s +1 Free Audiobook!, AVG Security Toolbar, Java™ 6 Update 22, McAfee Security Scan Plus, OpenOffice.org 3.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158864 2015-01-08] (XTab system) R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-20] (SysTool PasSame LIMITED) [File not signed] U2 CertPropSvc; No ImagePath U1 eabfiltr; No ImagePath S3 EverestDriver; \??\C:\DOCUME~1\Witaj\USTAWI~1\Temp\RarSFX0\kerneld.wnt [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Witaj\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{0D775546-2889-402C-9370-006E3AAE4F42}.exe HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_16_0_0_305_Plugin.exe -update plugin HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} HKU\S-1-5-21-1645522239-1965331169-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR HKU\S-1-5-21-1645522239-1965331169-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1645522239-1965331169-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {7B7EE163-E2C3-4CCC-8907-962CFE572D9D} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {B6C63ACF-8B3C-4389-BE9B-40BC4DBA8DD1} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll [2015-01-08] (Thinknice Co. Limited) Toolbar: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR" CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\ChromeExt\18.1.0.443\avg.crx [2014-05-05] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\18.3.0.885 FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Documents and Settings\Witaj\Dane aplikacji\Mozilla\Firefox\Profiles\jp58wuxu.default\extensions\fftoolbar2014@etech.com C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Witaj\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Mozilla Firefox\browser\searchplugins\avg-secure-search.xml C:\Program Files\XTab C:\Program Files\Common Files\AVG Secure Search C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj AVG Security Toolbar (o ile nadal będzie widoczny po głównej deinstalacji) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Temat przenoszę do działu Windows, to nie jest problem infekcji. 1. Ten błąd "Usługi buforowania czcionek platformy Windows Presentation Foundation" jakoby był rozwiązywany wcześniej: KLIK. Skoro błąd nadal występuje, być może więc problem nie leży wcale w FontCache*.dat. Czy w tym katalogu jest więcej plików FontCache*.dat niż jeden? 2. Diagnostyka BSOD w punkcie 5: KLIK.

Pokaż zawartość Kosza. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Folder: C:\$Recycle.Bin Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Fix FRST w ogóle nie wykonany i autorun.inf z obu partycji nie zostały skasowane. Otwórz plik Fixlog i porównaj z moim postem. Przy przeklejaniu skleiły się wszystkie linie. Skrypt w Notatniku musi mieć identyczne przejścia do nowej linii jak w moim poście. Powtarzaj zadanie. BSOD prawdopodobnie był związany z próbą usunięcia athgina.dll Atherosa. Zaś odnośniki appmgmts.dll w stanie "not found" to normalne na edycji XP Home: KLIK. Nie usuwaj tych wpisów, usługę AppMgmt tylko wyłącz i tyle.

Fałszywy alarm. AVG będzie wykrywał w FRST "nieznane zagrożenie", Avast nawet nie pozwala go pobrać, F-Secure blokuje uruchomienie, i tak dalej. Jest to nieumiejętność antywirusów, by ocenić poprawnie aplikację. Te problem będzie występował, dopóki antywirusy nie zmienią swoich detekcji lub (w co wątpię że nastąpi) FRST zostanie podpisany cyfrowo. W nowych raportach nie widać już "Smart Advisora" na dysku, tylko wpis wyłączony w msconfig. Kończymy: 1. Start > Uruchom > regedit i skasuj ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor 2. Usuń używane narzędzia za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmień dane logowania związane z Tibia.

Ta instalacja AllPlayer to nic złego, Napisy24 są jej częścią. Napisy24 są już wyłączone, usunę je z listy msconfig i dysku. Natomiast w systemie są widoczne inne problemy nie związane z AllPlayer wcale, tzn. szczątki po infekcji adware z przeszłości (przekierowania sweet-page.com i mystartsearch.com, zmodyfikowane skróty LNK przeglądarek, fałszywy WorldofTanks). Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} HKU\S-1-5-21-1177238915-861567501-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={719FA3CE-D760-452D-A8C4-E62806492B4D}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415avi&pr=fr&d=2015-05-04 10:06:32&v=4.1.0.411&pid=wtu&sg=&sap=hp HKU\S-1-5-21-1177238915-861567501-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={719FA3CE-D760-452D-A8C4-E62806492B4D}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415avi&pr=fr&d=2015-05-04 10:06:32&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1417288201&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird StandardProfile\AuthorizedApplications: [C:\Program Files\KONAMI\Pro Evolution Soccer 2011\pes2011.exe] => Enabled:Pro Evolution Soccer 2011 StandardProfile\GloballyOpenPorts: [1886:TCP] => Enabled:Genieo U3 Avgfwfd; system32\DRIVERS\avgfwdx.sys [X] S3 FscBapi; system32\DRIVERS\FscBapi.sys [X] S3 FscCmos; system32\DRIVERS\FscCmos.sys [X] S3 FscCpuid; system32\DRIVERS\FscCpuid.sys [X] S3 FscEfDmi; system32\DRIVERS\FscEfDmi.sys [X] U3 a3mvpgbj; No ImagePath C:\Documents and Settings\All Users\Dane aplikacji\ALLPlayerRemote C:\Documents and Settings\All Users\Dane aplikacji\AVG Security Toolbar C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Magda\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\Magda\Dane aplikacji\Opera Software C:\Documents and Settings\Magda\SendTo\Android (ALLPlayer Pilot).lnk C:\Documents and Settings\Magda\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Magda\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\AVG Web TuneUp C:\Program Files\EnterDigital C:\Program Files\NapiProjekt C:\Program Files\Napisy24 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLPlayer WiFi Remote" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome jest zainstalowane rozszerzenie ZenMate Security & Privacy VPN. Wersja darmowa to wariant adware: KLIK. Sugeruję deinstalację. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skoro FRST się wiesza, powtórz ten Fix z poziomu Trybu awaryjnego Windows. Jeśli pendrive nie będzie widoczny w awaryjnym, doczyścimy go potem w inny sposób.

Znalezisko MBAM to odpadek po jakiejś starszej akcji z adware. W raportach ogólnie nic czynnego nie widać. Tylko kosmetyczne akcje pod kątem wpisów szczątkowych / pustych do przeprowadzenia: 1. Napraw nuszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: StartMenuInternet: (HKLM) OperaStable - D:\Program Files\Launcher.exe http://isearch.omiga-plus.com/?type=sc&ts=1417869026&from=ild&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR683983139831 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-2442405527-2749528334-1709621355-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S1 nltdi; \??\C:\Program Files\NetLimiter 3\nltdi.sys [X] C:\ProgramData\.windows.sys C:\ProgramData\wmc.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax_RESTART" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

Brakuje głównego skanu FRST.txt. Dołącz ten plik.

Raporty są obowiązkowe: KLIK. Bez nich nie jest możliwa pomoc.