picasso

To plik z rozszerzeniem *.log, zabroniony w załącznikach. W załącznikach akceptuję tylko rozszerzenie *.txt. Zmień ręcznie nazwę pliku.

Dlatego podałam, by log przedstawić w punkcie 1, bo punkt 2 miał to wszystko usunąć. Powtarzanie operacji na nic, gdyż poprzednie wyniki się już nie pokażą. Czyszczenie z adware wygląda na ukończone. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro, nic nie usuwaj, tylko dostarcz wyniki.

1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Delta Toolbar, FTdownloader V3.0, Quick Start (o ile będą widoczne). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 2. Dopiero po tym uruchom ponownie AdwCleaner, zastosuj Szukaj + Usuń i dostarcz wynikowy log C:\AdwCleaner\AdwCleaner[sX].txt.

Wytnij ze skryptu FRST linię CreateRestorePoint: i powtórz zadanie.

W logu nic kompletnie nie widać. Jeśli problem jest w Google Chrome, to musi być gdzieś globalna modyfikacja, znowu. Skopiuj na Pulpit całe foldery do analizy: C:\Program Files (x86)\Google C:\Users\Kuba\AppData\Local\Google Spakuj do ZIP, shostuj gdzieś i podeślij link do tego. W linkowanym już artykule w końcowej części wyłożyłam sprawę, gdzie jest podstawowe "zabezpieczenie" - trzeba wyrobić sobie określone odruchy skąd pobierać oraz co robić w oknach instalatorów. Niestety antywirusy nie są w stanie zatrzymać wszystkich instalacji tego typu, wiele antywirusów nawet nie reaguje na próby instalacji typu "PUP" i przepuści. Mógłbyś się ewentualnie zaopatrzyć w komercyjną wersję Malwarebytes Anti-Malware z monitorem, gdyż on ma dużo definicji tego rodzaju. Są jeszcze wirtualne środowiska typu SandBoxie.

Wygląda na to, że problem proksyfikacji tworzy ten podejrzany gagatek w Harmonogramie zadań: Task: {8FDE39BB-6871-44B9-8A92-D4A8F7BBFC81} - System32\Tasks\Gamma Task Menager Cleaner => C:\Program Files (x86)\Gamma Task Menager\ gtrsecure.exe [2015-04-04] (SecureSoft) Na dodatek są w Firefox rozszerzenia adware: Movies Toolbar(Dist. by Azureus Software, Inc.) oraz niewidzialny w menedżerze rozszerzeń Firefox wtręt "Firefox Helper". Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {8FDE39BB-6871-44B9-8A92-D4A8F7BBFC81} - System32\Tasks\Gamma Task Menager Cleaner => C:\Program Files (x86)\Gamma Task Menager\ gtrsecure.exe [2015-04-04] (SecureSoft) Task: {A96C207B-3468-4711-8462-31ABF5FB52B5} - System32\Tasks\Win Installer => C:\Users\Hania\AppData\Local\Updater\winupd.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = C:\Program Files (x86)\AVG C:\Program Files (x86)\Gamma Task Menager C:\Program Files (x86)\Mozilla Firefox\distribution C:\Program Files (x86)\PathModule C:\Program Files (x86)\RelaySoft C:\Program Files (x86)\Zoom Hover Enlarge photos Beta C:\ProgramData\6503224410389159353 C:\ProgramData\MFAData C:\Users\Hania\AppData\Local\MFAData C:\Users\Hania\AppData\Roaming\8FE7.tmp C:\Users\Hania\AppData\Roaming\8FE7.tmp.exe C:\Users\Hania\AppData\Roaming\94C9.tmp C:\Users\Hania\AppData\Roaming\94C9.tmp.exe C:\Users\Hania\AppData\Roaming\em_64x64.ico C:\Users\Hania\AppData\Roaming\TuneUp Software Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie British English Dictionary (Forked by Marco Pinto) trzeba będzie przeinstalować menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy. PS. Pierwszy post został uporządkowany do oczekiwanej tu formy, ale oczywiście odpowiadasz mi w nowym poście.

Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Przedstaw wynikowy log C:\AdwCleaner\AdwCleaner[s0].txt. 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Documents and Settings\User\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Pierwsza: tak, zainstaluj tę aktualizację, choć to bardzo podstawowy wykrywacz. Druga: na samym końcu będziesz mógł się zająć "pracami konserwacyjnymi".

Ale przecież nie wykonałeś w ogóle punktu numer 1. Wykonaj to (z tą różnicą, że w Trybie normalnym a nie awaryjnym) i zrób nowe logi FRST (wszystkie trzy) oraz dostarcz fixlog.txt z wynikami usuwania.

Analizą usterki Harmonogramu zajmę się potem, jak sam widzisz wyniki gruuuube. Na szybko wyjaśnienie pozostałej części. Nic tu nie wskazuje na naruszenia w plikach Windows (plik reg.exe jest na dysku, a skan SFC nic nie wykrył), to Zmienne środowiskowe są niepoprawne, brakuje domyślnych specyfikacji folderów systemowych: path=C:\ProgramData\Oracle\Java\javapath;D:\Programy\Wget\bin 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, by łatwo można było to zedytować i na samym początku dostaw domyślną frazę Windows z końcowym średnikiem oddzielającym od istniejącej już części niedomyślnej: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\ProgramData\Oracle\Java\javapath;D:\Programy\Wget\bin Zapisz zmiany i zresetuj system. 2. Powtórz nieudaną część. Czyli załaduj do FRST skrypt i podaj wynikowy fixlog.txt: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Disc Soft Lite Bus Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDFProFiltSrvPP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SkypeUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Sony PC Companion" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MySql" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Techgile" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: del /q C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\yasr66cw.default\user.js

Log AdwCleaner wygląda bardzo dziwnie, są pokazane powielenia wpisów oraz różne poprawne klucze kończące się na ukośniku. Uruchomienie czyszczenia AdwCleaner w takiej sytuacji prawdopodobnie coś uszkodzi... Trzeba robić usuwanie inną metodą: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\BabylonToolbar C:\Program Files (x86)\Conduit C:\Program Files (x86)\webget C:\ProgramData\5a2bbf30b22ded70 C:\ProgramData\Ask C:\ProgramData\Babylon C:\ProgramData\BitGuard C:\ProgramData\Tarma Installer C:\Users\Adrian\daemonprocess.txt C:\Users\Adrian\AppData\Local\genienext C:\Users\Adrian\AppData\Local\lollipop C:\Users\Adrian\AppData\Local\onlysearch C:\Users\Adrian\AppData\LocalLow\Conduit C:\Users\Adrian\AppData\LocalLow\ConduitEngine C:\Users\Adrian\AppData\LocalLow\Delta C:\Users\Adrian\AppData\LocalLow\IncrediMail_MediaBar_2 C:\Users\Adrian\AppData\Roaming\Babylon C:\Users\Adrian\AppData\Roaming\newnext.me C:\Users\Adrian\AppData\Roaming\OpenCandy C:\Users\Adrian\AppData\Roaming\Systweak C:\Users\Adrian\Documents\Mobogenie C:\Windows\System32\roboot64.exe C:\Windows\SysWOW64\BitGuard C:\Windows\SysWOW64\rlls.dll Reg: reg delete HKCU\Software\8538cdfe23aba17 /f Reg: reg delete HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} /f Reg: reg delete HKCU\Software\AppDataLow\Software\Conduit /f Reg: reg delete HKCU\Software\AppDataLow\Software\conduitEngine /f Reg: reg delete HKCU\Software\AppDataLow\Software\IncrediMail_MediaBar_2 /f Reg: reg delete HKCU\Software\AppDataLow\Toolbar /f Reg: reg delete HKCU\Software\BABSOLUTION /f Reg: reg delete HKCU\Software\BabylonToolbar /f Reg: reg delete HKCU\Software\Classes\Applications\lollipop.exe /f Reg: reg delete HKCU\Software\Classes\keepmysearch /f Reg: reg delete HKCU\Software\DataMngr /f Reg: reg delete "HKCU\Software\dt soft\daemon tools toolbar" /f Reg: reg delete HKCU\Software\filescout /f Reg: reg delete HKCU\Software\IM /f Reg: reg delete HKCU\Software\ImInstaller /f Reg: reg delete HKCU\Software\InstallCore /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E} /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /f Reg: reg delete HKCU\Software\lollipop /f Reg: reg delete HKCU\Software\Softonic /f Reg: reg delete HKCU\Software\SweetIM /f Reg: reg delete HKCU\Software\systweak /f Reg: reg delete HKCU\Software\vShare.tv /f Reg: reg delete HKCU\Software\YahooPartnerToolbar /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\{6791A2F3-FC80-475C-A002-C014AF797E9C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\8538cdfe23aba17 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Babylon /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\BabylonToolbar /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escort.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escortApp.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escortEng.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\escorTlbr.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\esrv.EXE /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3FD9A2FE-8A4D-4B1C-AB7A-A025658C74CC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E46C8196-B634-44A1-AF6E-957C64278AB1} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\escort.escrtBtn.1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Prod.cap /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT1098640 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2724386 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Conduit /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\conduitEngine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\DataMngr /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\DealPly /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\ImInstaller /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\IncrediMail_MediaBar_2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{42617127-D706-4D30-A1BC-BACEFB7D401F}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{920F67ED-6F13-418E-BBB0-D6426C36847B}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3FD9A2FE-8A4D-4B1C-AB7A-A025658C74CC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SweetIM /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\systweak /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Techgile /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{C66F0B7A-BD67-4982-AF71-C6CA6E7F016F} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{EAF749DC-CD87-4B04-B22A-D4AC3FBCB2BC} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete "HKLM\SOFTWARE\Tarma Installer" /f Reg: reg delete HKU\S-1-5-18\Software\Techgile /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz tylko Szukaj i dostarcz wynikowy log C:\AdwCleaner\AdwCleaner[R1].txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany. Teraz uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner. Prawdopodobnie ten komunikat generuje Windows Search w Autostarcie: Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Windows Search.lnk ShortcutTarget: Windows Search.lnk -> C:\Program Files\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation) 1. Odinstaluj Windows Search 4.0, jeśli nie korzystasz. W przeciwnym wypadku wyklucz Outlook z indeksowania w tym systemie. 2. Zresetuj licznik Outlooka. Start > Uruchom > regedit i w kluczu: HKEY_CURRENT_USER\Identities\{identyfikator}\Software\Microsoft\Outlook Express\5.0 Dwuklik w wartość Compact Check Count i ustaw na 0.

Akcja wykonana. Ostatni skrypt do FRST: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Dana\Desktop\Stare dane programu Firefox Dostarcz wynikowy fixlog.txt.

Zadanie wykonane. Skasuj z dysku plik C:\Delfix.txt. To tyle.

Nie widać tu żadnych oznak infekcji z pendrive, do korekty będą tylko: adware FF Toolbar w Firefox oraz wpisy puste. Zawartość pendrive nieznana. Dodaj raport USBFix z opcji Listing zrobiony przy podpiętym pendrive. Mogą być różne przyczyny, trudno powiedzieć. Ale zacznij od aktualizacji, w systemie strasznie stara wersja IE7. Zainstaluj IE8 (też bardzo stary, ale dla XP nie ma innych możliwości): KLIK. Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 3 (X86) OS Language: Polski Internet Explorer Version 7 (Default browser: IE) Przy okazji odinstaluj też stare wersje: Adobe AIR, Adobe Flash Player 16 NPAPI, J2SE Runtime Environment 5.0, Java™ 6 Update 19. Ta Java tragiczna, same dziury. Po wszystkich robotach (de)instalacyjnych zrób nowe raporty FRST (wącznie z Addition).

No właśnie o to mi chodziło, by w programie wykonać to co jest w moim opisie narzędzia. W opisie jest wyraźnie powiedziane, by skorzystać z opcji "Remove disinfection tools". Inne nie są wskazywane.

Problem numer jeden tworzy szczątkowy wpis po jakimś szkodniku zlokalizowany w starcie: HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [tsiVideo] => C:\Windows\SysWOW64\rundll32.exe C:\Users\Grabnet\AppData\Local\Temp\\mdi164.dll,asdasd Pozostałe problemy nie są związane z infekcją, a z logów nic nie wynika. Przy czym usterka CD-ROM może być sprzętowa. SpyHunter to program z czarnej listy! Nigdy więcej instalacji. W kwestii likwidacji błędu startowego oraz doczyszczania śmieci: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [tsiVideo] => C:\Windows\SysWOW64\rundll32.exe C:\Users\Grabnet\AppData\Local\Temp\\mdi164.dll,asdasd HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-2737716303-2564593903-3058483522-1001\...\Run: [zASRockInstantBoot] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] R3 AsrIbDrv; \??\C:\Windows\SysWOW64\Drivers\AsrIbDrv.sys [X] R3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Users\Grabnet\Start Menu\Programs\SpyHunter Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wielokrotne wystąpienia adresu mystartsearch.com, przestaw na "Otwórz stronę nowej karty" 3. Zrób nowy log FRST z opcji Scan, zazacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Miałeś użyć DelFix do usunięcia narzędzi, a punkty Przywracania systemu wyczyścić ręcznie z poziomu opcji. Natomiast Ty zastosowałeś DelFix do usuwania punktów Przywracania systemu... Czy wybrałeś wcześniej opcję usuwania narzędzi?

Ten błąd oznacza, że pobrany plik jest uszkodzony. Pobierz ponownie.

Zaznacz "Uruchamianie normalne". Jeśli chodzi o podane wcześniej przeze mnie instrukcje, to w związku z tymi problemami z Trybem awaryjnym uruchom Fix FRST z poziomu Trybu normalnego a nie awaryjnego.

Infekcja jest zlokalizowana w tych wpisach: HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\Userinit.exe,,C:\Program Files\cbvnqrbu\khnaerkl.exe Startup: C:\Documents and Settings\riky\Menu Start\Programy\Autostart\khnaerkl.exe () Niestety to wygląda jak wirus Ramnit zżerający wszystkie pliki wykonywalne i HTML na wszystkich dyskach. Jest to ciężka infekcja, bardzo trudno ją ubić i wymagane jest środowisko zewnętrzne. Z tym, że darowałabym sobie takie próby w związku z faktem, że to system który był co dopiero reinstalowany, bo po leczeniu i tak nie uzyska pierwotnej sprawności: Skoro po formacie problem wrócił, uruchomiłeś zainfekowany wirusem plik z któregoś dysku i/lub przenośnego urządzenia. Są tu dwie partycje: ==================== Drives ================================ Drive c: () (Fixed) (Total:17.58 GB) (Free:10.18 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (Nowy) (Fixed) (Total:19.68 GB) (Free:7.58 GB) NTFS Proponuję wykonać ponownie format i reinstalację XP, ale z zachowaniem środków ostrożności: nie wolno z obecnego stanu skopiować żadnych plików wykonywalnych "na zapas" (instalatory, sterowniki, pliki HTML), bo po formacie wystarczy jeden plik i wszystko wróci do stanu początkowego. Partycja D jest mocno podejrzana, nie wiadomo co tam jest, po formacie C nie wchodź tam, ani nic z niej nie uruchamiaj, tylko wykonaj pełny skan antywirusowy tej partycji. Zachomikowane instalatory wyrzucać bez namysłu, to zawsze można pobrać ponownie.

Kończymy: 1. Usuń pobrany FRST z katalogu C:\Users\admin\Desktop\logi. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu i wymień Adobe Flash Player 16 ActiveX najnowszą wersją (o ile nadal ten stary jest w systemie): KLIK.

Na przyszłość: nie powtarzaj Fix w FRST, te skrypty są jednorazowego użytku, pierwsze uruchomienie zmienia sytuację i powoduje, że Fix traci ważność. Kolejna porcja działań. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\isearch.babylon.com" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DC727A8C-7582-483C-A1C2-2B885F099BB5} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DC727A8C-7582-483C-A1C2-2B885F099BB5} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7AB5857A57A0687786597A857BFFFFFF /f Reg: reg delete HKU\S-1-5-18\Software\AskPartnerNetwork /f CMD: del /q C:\Users\Kasia\Downloads\ibghrxzm.exe CMD: del /q C:\Windows\System32\drivers\iSafeKrnlBoot.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\AdTrustMedia RemoveDirectory: C:\Program Files (x86)\Elex-tech RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3 RemoveDirectory: C:\Users\Kasia\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\System32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj kombinację opcji Szukaj + Usuń (nie pomyl tego z Odinstaluj usuwającym AdwCleaner). Gdy program ukończy czyszczenie adware: 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q "C:\Users\NAS Tower\Downloads\06jvf4pi.exe" RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Reklamy nadal są, bo podane czynności nie miały tego rozwiązać w pełni. W skrypcie FRST były przetwarzane widoczne elementy oraz pobierane dodatkowe informacje o folderach przeglądarek. W Firefox jest ukryte adware, co widać w wynikach skryptu oraz skanie nowej zaktualizowanej wersji FRST: FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\my-prefs.js [2015-03-25] FF ExtraCheck: C:\Program Files\mozilla firefox\my.cfg [2015-03-25] Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll No File DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: @java.com/DTPlugin,version=10.7.2 -> C:\WINDOWS\system32\npDeployJava1.dll [2012-09-19] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-07] (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-02-07] (Google Inc.) FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff C:\Documents and Settings\Administrator\Dane aplikacji\Opera C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Opera C:\Documents and Settings\All Users\Kaspersky Lab Setup Files C:\Program Files\Google C:\Program Files\Mozilla Firefox\my.cfg C:\Program Files\Mozilla Firefox\browser\defaults C:\Program Files\Opera EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Uruchom Zoek. W oknie wklej: Google Update Helper;u Klik w Run Script. Powstanie plik zoek-results.log, trzeba zmienić ręcznie rozszerzenie na *.txt, by dało się doczepić w załącznikach. 4. Sprawdź czy możesz zainstalować Internet Explorer 8. 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też pliki fixlog.txt i zoek-results.txt. Sprawa infekcji w Firefox powinna być rozwiązana.