picasso

Drobna uwaga: był używany HijackThis, to stary 32-bitowy program niekompatybilny z systemem 64-bit i pokazujący na takim systemie głupoty ze względu na brak dostępu do stricte 64-bitowej części. Nie próbuj go używać. W Firefox infekcja jest oczywista, tworzą ją pliki: 2015-04-07 22:08 - 2015-03-25 20:35 - 0013494 _____ () C:\Program Files (x86)\Mozilla Firefox\my.cfg 2015-04-07 22:08 - 2015-03-25 19:32 - 0000088 _____ () C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2219068051-696335796-1202380909-1000\...\Run: [Flvto Youtube Downloader] => "C:\Users\test\AppData\Local\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank Toolbar: HKU\S-1-5-21-2219068051-696335796-1202380909-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2219068051-696335796-1202380909-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\test\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {2DF3A544-0633-49AA-A67C-0A73DC2CAE20} - System32\Tasks\{CC63DAF8-0976-42C8-A53F-09CE6A8AEFCD} => pcalua.exe -a "C:\Program Files (x86)\HD+V1.0\Uninstall.exe" -c /fcp=1 Task: {5795112D-FC42-48E8-A5DC-3D1A9231DC3C} - \a2637a89-53b3-460f-9620-adf0ee892971-1 No Task File Task: {975E32CB-DCE0-4750-93A4-B062C61F1073} - System32\Tasks\{850C161A-C3D5-478D-812D-EEB3450148E2} => pcalua.exe -a C:\Users\test\Downloads\HijackThis.exe -d C:\Users\test\Downloads Task: {A158D5DC-2E20-4E3E-BDF6-8CD8AE01B141} - System32\Tasks\{4ADB4F4F-A46F-41E9-941E-8CA3EABE3569} => pcalua.exe -a "D:\Diablo2 + LOD\d2-cdkey\d2-cdkey.exe" -d "D:\Diablo2 + LOD\d2-cdkey" Task: {C4392283-941B-497D-804B-44D7BE778A13} - System32\Tasks\HEUyuCX78M7jOiZIxMzg => C:\Users\test\AppData\Roaming\HEUyuCX78M7jOiZIxMzg.exe Task: {D6B644AE-8308-4775-B504-281FA7BE5F53} - \temp_a2637a89-53b3-460f-9620-adf0ee892971-2 No Task File Task: C:\Windows\Tasks\HEUyuCX78M7jOiZIxMzg.job => C:\Users\test\AppData\Roaming\HEUyuCX78M7jOiZIxMzg.exe C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google\Chrome\Application\master_preferences C:\Program Files (x86)\Mozilla Firefox\my.cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\test\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\test\AppData\Roaming\HEUyuCX78M7jOiZIxMzg C:\Users\test\Downloads\jxpiinstall*.exe C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Powyższy skrypt usunie globalne adware z Firefox, ale jeszcze dodatkowo wyczyść go na poziomie profilu: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować menu Historia > Wyczyść historię przeglądania 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware SourceApp i co tam jeszcze podejrzanego widzisz. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. W Firefox sprawa reklam powinna być w 100% rozwiązana, ale mnie interesuje czy Google Chrome będzie czyste.

Temat przenoszę do odpowiedniego działu, tzn. Windows. To nie jest problem infekcji. To nie są poprawki, jakie masz na myśli, nie są instalowane w sposób jak inne aktualizacje. A wyniki KB947821, czyli Narzędzia analizy gotowości aktualizacji systemu, to trzeba dopiero sprawdzić. To nie jest tak, że uruchamiasz i na tym się kończy. Skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. Nie obiecuję szybkiego sprawdzenia. Nie sprawdziłeś konkretów co mówi skan SFC i gdzie wykrywa uszkodzenia. Wyniki skanu pobiera się z CBS.LOG poprzez komendę filtrującą. To sobie sprawdzę już sama po otrzymaniu całego folderu CBS (z CBS.LOG i jego kopiami oraz wynikami Checksur). ATF Cleaner to strasznie archaiczny program, sugeruję się już z nim pożegnać.

Fix wykonany. Tradycyjna końcówka z DelFix i czyszczeniem Przywracania systemu: KLIK. To crack aktywacji Windows 8, instalowany ręcznie przez użytkownika, więc powinieneś o nim wiedzieć. Figuruje na liście zainstalowanych programów: ==================== Installed Programs ====================== KMSpico v9.1.3 (HKLM\...\KMSpico_is1) (Version: 9.1.3 - ) Nie, nie ruszałam go wcale w Fixie FRST.

Zadanie zostało pomyślnie wykonane. Usuń F:\narzędzia\frst. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Skorzystaj z awaryjnego deinstalatora linkowanego w powyższym temacie w sekcji aktualizacji programów: KLIK. Oczywiście możesz to wykonać.

Drobne poprawki jeszcze. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 nicorygo; C:\Users\Andrew\AppData\Roaming\D0D66880-1428240119-11E2-B2A5-317CD4B82100\nssEB3.tmp [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-18\...\RunOnce: [spUninstallDeleteDir] => rmdir /s /q "\SearchProtect" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\Users\Andrew\AppData\Roaming\msregsvv.dll CMD: del /q C:\Users\Andrew\Downloads\gm*.zip RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Andrew\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Większość Fixa wykonana, ale nie wygląda na to, by FRST przetworzył komendę EmptyTemp: - log się kończy w momencie, gdy to zadanie miało być przetworzone. To powtórzymy, ale potem. Nie wygląda też, by Firefox był zresetowany. Kolejna porcja czynności: 1. Wykonaj podane wcześniej instrukcje dla Firefox, czyszczenie Historii i reset ustawień. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Jeśli chodzi o czyszczenie z adware, to teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner. Widzę tu sprzeczność, skoro wykonałeś zadanie deinstalacji kanału i PIO zmieniło się w DMA, cały post numer 6 jest nieaktualny... W dziale malware, w przeciwieństwie do innych działów forum, pomocy mogą udzielać tylko autoryzowane osoby, w zasadach działu jest napisane kto, konkretnie tylko dwie osoby. A że delikwent Landuss jest nieobecny na forum od ponad roku bez żadnego powiadomienia (sic!), zostałam z tym sama na lodzie. Jeśli jestem nieobecna / niezdolna odpowiedzieć, odpowiedź nie nadchodzi. Ostatnio nie jestem w dobrej formie, ciągną się za mną pewne kłopoty ze zdrowiem, od końcówki 2013.

markym, proszę bez postów typu "pytajniki, anybody" - to są śmieci i poleciały do kosza. Powtarzałam tu wiele razy, że jeśli jestem nieobecna lub niezdolna udzielić odpowiedzi, nie pomogą takie wtręty. A nikt inny nie zabiera głosu, bo tu jest dział diagnostyki malware z restrykcjami. Temat przenoszę do właściwego działu Windows. To nie jest problem infekcji. Redukuję też liczbę logów zostawiając tylko jeden zestaw FRST, dane powtarzają się. Nic z raportów konkretnego nie wynika. Ogólnie widać że to stary system HP ze stary oprogramowaniem i archaicznymi sterownikami, z bardzo mizerną ilością RAM. Przy 500MB to nie należy się spodziewać cudów: ==================== Memory info =========================== Processor: Intel® Pentium® M processor 1.73GHz Percentage of memory in use: 33% Total physical RAM: 503.36 MB Available physical RAM: 336.82 MB Total Pagefile: 1229.37 MB Available Pagefile: 1152.54 MB Total Virtual: 2047.88 MB Available Virtual: 1959.99 MB Sugestie dodatkowe: 1. Sprawdzić transfer dysku czy nie jest zdegradowany do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Wyłączyć zbędne elementy ze startu. W Autoruns w karcie Logon odznaczyć te pozycje (a pusty SunJavaUpdateSched usunąć): HKLM\...\Run: [AGRSMMSG] => C:\WINDOWS\AGRSMMSG.exe [88363 2004-08-24] (Agere Systems) ----> jeśli modem nie jest w użyciu HKLM\...\Run: [soundMAXPnP] => C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe [1388544 2004-10-14] (Analog Devices, Inc.) HKLM\...\Run: [soundMAX] => C:\Program Files\Analog Devices\SoundMAX\Smax4.exe [860160 2004-09-23] (Analog Devices, Inc.) HKLM\...\Run: [updateManager] => C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe [110592 2003-08-19] (Sonic Solutions) HKLM\...\Run: [dla] => C:\WINDOWS\system32\dla\tfswctrl.exe [122941 2005-04-27] (Sonic Solutions) HKLM\...\Run: [WatchDog] => C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [184320 2005-03-09] (InterVideo Inc.) HKLM\...\Run: [RemoteControl] => C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [32768 2004-06-28] (Cyberlink Corp.) HKLM\...\Run: [HP Software Update] => C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [54840 2007-05-08] (Hewlett-Packard) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated) HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre7\bin\jusched.exe" HKU\S-1-5-21-181976360-1301346324-1263509086-1006\...\Run: [MSMSGS] => C:\Program Files\Messenger\msmsgs.exe [1695232 2008-04-14] (Microsoft Corporation) Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BTTray.lnk ShortcutTarget: BTTray.lnk -> C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\DVD Check.lnk ShortcutTarget: DVD Check.lnk -> C:\Program Files\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.) W karcie Services: S2 JavaQuickStarterService; C:\Program Files\Java\jre7\bin\jqs.exe [182696 2014-12-06] (Oracle Corporation) S3 ServiceLayer; C:\Program Files\PC Connectivity Solution\ServiceLayer.exe [575488 2008-08-07] (Nokia.) [File not signed] S2 SoundMAX Agent Service (default); C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe [45056 2002-09-20] (Analog Devices, Inc.) [File not signed] S3 WmcCds; c:\program files\windows media connect\mswmccds.exe [483328 2004-08-10] (Microsoft Corporation) [File not signed] S3 WmcCdsLs; C:\Program Files\Windows Media Connect\mswmcls.exe [28160 2004-08-10] (Microsoft Corporation) [File not signed] S2 WMDM PMSP Service; C:\WINDOWS\system32\MsPMSPSv.exe [53248 2001-05-01] (Microsoft Corporation) [File not signed] Przy okazji w karcie Drivers dokasować martwy odpadek Ad-Watch Connect Filter. Po akcjach zresetować system i zweryfikować czy nie ma uszczerbku w określonej firmowej sferze (piję do deaktywacji serwisów SoundMAX). 3. Odinstalować zbędne oprogramowanie, a także archaiczny DAEMON Tools lecący na inwazyjnych sterownikach (one mogą blokować Hibernację i mieć inne negatywne skutki): R0 d343bus; C:\WINDOWS\System32\DRIVERS\d343bus.sys [136704 2003-12-15] ( ) [File not signed] R0 d343port; C:\WINDOWS\System32\DRIVERS\d343port.sys [5632 2003-12-15] ( ) [File not signed] Zaktualizować Internet Explorer do wersji IE8, a także dziurawe wersje Adobe Flash Player i Java: KLIK. Tematy (w poprawionej formie) są przecież tu na forum: KLIK / KLIK. To tyle z mojej strony.

Logi z przestarzałego OTL nie są już od dawna obowiązkowe. Usuwam je. Był używany ComboFix. Brak oznak infekcji czy jawnych niepożądanych ingerencji, z tym że skan został wykonany podczas braku połączenia z siecią, więc nie wiadomo jakie DNS jest pobierane z routera: DNS Servers: Media is not connected to internet. Do przeprowadzenia tylko "kosmetyka": 1. Był uruchamiany GMER, toteż do sprawdzenia Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI oraz sponsoringową instalację nabytą podczas instalacji produktów Adobe McAfee Security Scan Plus. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 catchme; \??\C:\DOCUME~1\Mateusz\USTAWI~1\Temp\catchme.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2025429265-854245398-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2025429265-854245398-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f RemoveDirectory: C:\found.000 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRSt nie są mi potrzebne

- W ogóle nie polecam nic od IOBit. To nierzetelna marka, w przeszłości kradzież bazy definicji MBAM, podejrzane związki partnerskie, adware w instalatorach. Więcej: KLIK. - Niewidzialny MyFreeCodec oraz uszkodzony Smart File Advisor zostaną usunięte ręcznie w skrypcie FRST. - Odradzam używanie automatów do aktualizacji sterowników w rodzaju DriverMax 7. Można sobie zaszkodzić tym działaniem. A co do reszty, to już wedle uznania, odinstaluj po prostu to z czego nie korzystasz, mnie trudno ocenić te aspekty. Widzę, że w msconfig został wyłączony proces oprogramowania touchpad: MSCONFIG\startupreg: SynTPEnh => c:\program files\synaptics\syntp\syntpenh.exe W msconfig w karcie Uruchamianie zaznacz ten wpis ponownie i zresetuj system. Jeśli to nie rozwiąże sprawy, przeinstaluj w całości aplikację: Synaptics Pointing Device Driver (HKLM\...\SynTPDeinstKey) (Version: 10.1.2.0 - Synaptics) Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKCR\*\shell\!sfa /f Reg: reg delete HKCR\*\shell\sfa_checksum /f Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MyFreeCodec /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart File Advisor_is1" /f Reg: reg query HKCR\Unknown /s DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab R1 StarOpen; C:\Windows\system32\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] C:\Windows\system32\Drivers\StarOpen.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Temat porządkuję. Tytułowy błąd generują pozostałości po adware w Harmonogramie zadań Windows, ale to nie jedyne problemy w systemie. I uważaj na szkodliwego "Asystenta pobierania" dobrychprogramów, bo był on tu w użyciu: KLIK. Działania do przeprowadzenia: 1. Deinstalacje: - W systemie są aż dwa aktywne antywirusy: AVG 2014 oraz Avast. Ten drugi jest niepoprawnie pozornie odinstalowany. Wejdź w Tryb awaryjny Windows i zastosuj narzędzie Avast Uninstall Utility. - Opuść Tryb awaryjny. Przez Dodaj/Usuń programy odinstaluj stare wersje oraz adware: Adobe Flash Player 15 Plugin, Adobe Flash Player 16 PPAPI, Adobe Reader 9.5.0 - Polish, do-search uninstall, Java 7 Update 67. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t; C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys [55056 2014-09-21] (StdLib) S1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X] U4 WMCoreService; No ImagePath S1 wpnfd_1_10_0_1; system32\drivers\wpnfd_1_10_0_1.sys [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\ANIAKW~1\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: C:\WINDOWS\Tasks\FZNXDO.job => C:\Documents and Settings\Ania kwiaty\Dane aplikacji\FZNXDO.exe Task: C:\WINDOWS\Tasks\ShopperProJSUpd.job => C:\Program Files\ShopperPro\Updater.exe Task: C:\WINDOWS\Tasks\SMupdate1.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SPBIW_UpdateTask_Time_313939323530303332392d3437415a556c2a3223346c41.job => Wscript.exe w/B C:\Documents and Settings\All Users\Dane aplikacji\ShopperPro\spbihe.js spbiu.exe Task: C:\WINDOWS\Tasks\YQJZFRE.job => C:\Documents and Settings\Ania kwiaty\Dane aplikacji\YQJZFRE.exe Task: C:\WINDOWS\Tasks\YTDownloader.job => C:\Program Files\YTDownloader\YTDownloader.exe Task: C:\WINDOWS\Tasks\ZAJJM.job => C:\Documents and Settings\Ania kwiaty\Dane aplikacji\ZAJJM.exe Task: C:\WINDOWS\Tasks\ZBALKSH.job => C:\Documents and Settings\Ania kwiaty\Dane aplikacji\ZBALKSH.exe HKLM\...\Run: [ConvertAd] => C:\Documents and Settings\Ania kwiaty\Ustawienia lokalne\Dane aplikacji\ConvertAd\ConvertAd.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1415913125&from=obw&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-448539723-515967899-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD HKU\S-1-5-21-448539723-515967899-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-448539723-515967899-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD&q={searchTerms} SearchScopes: HKU\S-1-5-21-448539723-515967899-1801674531-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD&q={searchTerms} SearchScopes: HKU\S-1-5-21-448539723-515967899-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD&q={searchTerms} ShortcutWithArgument: C:\Documents and Settings\Ania kwiaty\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1415913125&from=obw&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD ShortcutWithArgument: C:\Documents and Settings\Ania kwiaty\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1415913125&from=obw&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD ShortcutWithArgument: C:\Documents and Settings\Ania kwiaty\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1415913125&from=obw&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe OPR StartupUrls: "hxxp://do-search.com/?type=hp&ts=1428515936&from=cor&uid=ST9160827AS_5RF0PTADXXXX5RF0PTAD" OPR Extension: (No Name) - C:\Documents and Settings\Ania kwiaty\Dane aplikacji\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech [2014-11-13] OPR Extension: (No Name) - C:\Documents and Settings\Ania kwiaty\Dane aplikacji\Opera Software\Opera Stable\Extensions\ilhhefepljbmehhbmjcflhcchkddfaon [2014-11-13] OPR Extension: (No Name) - C:\Documents and Settings\Ania kwiaty\Dane aplikacji\Opera Software\Opera Stable\Extensions\jhapbopfchfogphiimjbhodmgnppoigk [2014-11-13] C:\Documents and Settings\Ania kwiaty\Dane aplikacji\FZNXDO C:\Documents and Settings\Ania kwiaty\Dane aplikacji\YQJZFRE C:\Documents and Settings\Ania kwiaty\Dane aplikacji\ZAJJM C:\Documents and Settings\Ania kwiaty\Dane aplikacji\ZBALKSH C:\Documents and Settings\Ania kwiaty\Dane aplikacji\do-search C:\Documents and Settings\Ania kwiaty\Moje dokumenty\*(*)-dp*.exe C:\Documents and Settings\Ania kwiaty\Pulpit\Continue Live Installation.lnk C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, błąd powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Operze: CTRL+SHIFT+E i sprawdź na liście rozszerzeń czy są jakieś dziwne pozycje (bez nazwy lub nazwy: iWebar, SavePass, Sense). Jeśli tak, usuń za pomocą przycisku "x". 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Jeśli chodzi o usuwanie Favikon, to FRST już nie czyści Historii Firefox. Jeśli chodzi o problem infekcji Brontok, to sprawa zdaje się być rozwiązana. Na koniec: Usuń pobrany FRST z katalogu D:\Zielony\Programy. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj poniżej wyliczone programy: KLIK. Internet Explorer Version 9 (Default browser: FF) ==================== Installed Programs ====================== Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.235 - Adobe Systems Incorporated) ----> wtyczka dla IE Mozilla Firefox 36.0.4 (x86 pl) (HKLM\...\Mozilla Firefox 36.0.4 (x86 pl)) (Version: 36.0.4 - Mozilla)

Teraz ustawienia DNS są w porządku: Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Skoro nadal występuje efekt, to wyczyść wszystkie cache (bufor DNS i cache przeglądarek) - otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, by nie zablokował FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt.

Czy mam to odczytywać jako wykrycie i naprawę niepożądanych ustawień, czy też wręcz przeciwnie? Czy nadal są problemy? On został odinstalowany w pierwszym podejściu, bo w drugim logu FRST go nie było, pojawił się ponownie w trzecim. Na koniec zastosuj DelFix oraz zaktualizuj poniższe programy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.305 - Adobe Systems Incorporated) ----> wtyczka dla IE Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle)

Mowa tu o myszy, ale czy klawiatura jest też typu USB? No cóż, w sytuacji, gdy się zablokowano permanentnym startem do Trybu awaryjnego należy zedytować plik rozruchowy BOOT.INI systemu XP, by usunąć parametr startu do awaryjnego. Instrukcje tutaj: KLIK. Skorzystaj z płyty Paragon Rescue Kit Free Edition.

No cóż, nowe logi FRST potrzebne (wszystkie trzy). Poza tym, dontpanic proszę bądź bardziej uważny, bo te instalacje adware wślizgują się takimi metodami: KLIK. W większości przypadków w "downloaderach" są opcje odmowy. Oczywiście są też wersje tak skonstruowane, że nie ma takiej możliwości.

W tej wyszukiwarce wpisuje się dane z planszy z okupem, takie jak numer konta czy telefon pokazany na komunikacie. W Twoim przypadku są to te adresy e-mail widziane na komunikacie. - Są specjalizowane programy dedykowane prewencji przed infekcjami szyfrującymi: KLIK. - Poza tym, bardzo ważne jest robić izolowane kopie cennych danych na innych nośnikach. W przypadku nieznanej infekcji szyfrującej, która nie zostanie zatrzymana, przynajmniej nie będzie utraty danych. Zadania wykonane i infekcja nie jest już czynna. Kolejna porcja działań: 1. Tapeta nadal nie jest skorygowana i w rejestrze jest zapis pliku tapety malware. Miałeś ręcznie ustawić w opcjach nowy obraz, bo to się samo nie zrobi. HKU\S-1-5-21-4079469416-385390291-1880624462-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Marcel\AppData\Roaming\A3C85375A3C85375.bmp 2. Usunięcie zaszyfrowanych kopii z czeluści systemowych. Te zaszyfrowane wersje *.xtbl oraz *.ytbl które są dla Ciebie ważne skopiuj z dysków C i E na jakiś zewnętrzny nośnik. Szanse na odszyfrowanie są raczej zerowe, ale na wszelki wypadek zrób to. Po tej akcji otwórz Notatnik i wklej w nim: RemoveDirectory: C:\found.000 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Users\Marcel\Doctor Web CMD: attrib -r -h -s C:\*.xtbl /s CMD: attrib -r -h -s C:\*.ytbl /s CMD: attrib -r -h -s E:\*.xtbl /s CMD: attrib -r -h -s E:\*.ytbl /s CMD: del /q /s C:\*.xtbl CMD: del /q /s C:\*.ytbl CMD: del /q /s E:\*.xtbl CMD: del /q /s E:\*.ytbl Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\NAS Tower\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\NAS Tower\Desktop\Stare dane programu Firefox CMD: del /q C:\ProgramData\FavIcon.ico CMD: del /q "C:\Users\NAS Tower\Downloads\06jvf4pi.exe" Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fcdf7cac} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Logi FRST pochodzą z limitowanego konta Michal bez dostępu, stąd w logu wiele przekłamań (brak informacji o procesach, zablokowane usługi i pobór innych danych). Logi powinny być dostarczone z konta administracyjnego Root. Temat założyłeś w dziale diagnostyki infekcji - czy jest jakiś szczególny powód do tego działania? Przenoszę do działu Sieci. Pomimo, że logi są z limitowanego konta i pewne informacje są zablokowane, tu nic nie wskazuje na infekcję i wątpię w ten scenariusz. W Dzienniku zdarzeń jest owszem błąd: System errors: ============= Error: (04/14/2015 09:21:09 PM) (Source: Schannel) (EventID: 4120) (User: ZARZĄDZANIE NT) Description: Wygenerowano alert krytyczny, który został wysłany do zdalnego punktu końcowego. W efekcie połączenie może zostać zakończone. Kod błędu krytycznego zdefiniowany przez protokół TLS to 10. Kod stanu błędu SChannel w systemie Windows to 10. Jeśli problem z bezpiecznymi połączeniami występuje nie tylko w Google Chrome (przeklejony komunikat w pierwszym poście pochodzi z Chrome), ale i w Firefox czy IE - podejrzany jest świeżo doinstalowany COMODO Firewall, który ingeruje w obszar połączeń i certyfikatów. Na próbę odinstaluj całkowicie (oczywiście z poziomu konta administracyjnego Root) i podaj czy jest poprawa.

1. Przez Panel sterowania odinstaluj adware, stare wersje i zbędniki: Adobe Flash Player 16 ActiveX, Internet Speed Checker, istartsurf uninstall, Skype Toolbars. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-27] (globalUpdate) [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-27] (SysTool PasSame LIMITED) [File not signed] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-360924908-518354685-2704030000-1000\...\Run: [skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKU\S-1-5-21-360924908-518354685-2704030000-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKU\S-1-5-21-360924908-518354685-2704030000-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} BHO: Norton Identity Protection -> {AB4C7833-A6EC-433f-B9FE-6B14B1A2F836} -> C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-03-16] (Thinknice Co. Limited) Toolbar: HKLM - Norton Identity Safe Toolbar - {A13C2648-91D4-4bf3-BC6D-0079707C4389} - C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File Toolbar: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> Norton Identity Safe Toolbar - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Dana\AppData\Roaming\Mozilla\Firefox\Profiles\iw5dhuwu.default-1395077970526\extensions\searchengine@gmail.com FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Dana\AppData\Roaming\Mozilla\Firefox\Profiles\iw5dhuwu.default-1395077970526\extensions\istart_ffnt@gmail.com Task: {0ACD2C2B-CFCE-4955-9019-2D551B273218} - System32\Tasks\{7F49692B-F382-42D1-93D1-7F3A6E6A1A00} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {36E79571-790F-4DCD-BEBC-03F4678DE48F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {614C2E0A-6F58-4C35-B5D1-78791B6860BA} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {65361B65-E06C-4870-8635-DEBCFF80A580} - System32\Tasks\{F1F8CA6B-BDF6-4ADE-B8A4-D802D0D69C85} => pcalua.exe -a C:\Users\Dana\Downloads\sp37811.exe -d C:\Users\Dana\Downloads Task: {68189F4D-EC64-414A-BCB3-3B80669244CE} - System32\Tasks\{76ED6E2C-85BF-4787-8534-D6B392F60B40} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {6FC76FD5-2CE0-4F82-984F-DD6219570C47} - System32\Tasks\{0D259B92-6D36-478C-8B28-74EAE4CCC2CD} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {708C7CBB-AFF5-4EB3-9EC6-C7B44F942CBC} - System32\Tasks\{3B3C6651-0B42-4188-B19C-AE087567C566} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {85DDC2BC-57B9-4044-A0D5-EB85FC3B5796} - System32\Tasks\{C11EDAEA-23C6-4D05-8BE4-7F67454BDDA4} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {870608BB-780D-4C7D-9D30-38ED3FCB3611} - System32\Tasks\{0861B560-92FA-4F7C-AA26-B1B181EE684E} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A9426EC2-FB80-4BDF-A38B-F76BFC43E66E} - System32\Tasks\{F79D4A52-A6E6-45B3-A6DC-97D679F5CAD2} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {BA260342-101F-4CD2-A403-34330EA78E70} - System32\Tasks\{C8179842-A8BD-47E0-BF65-23455A025343} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {BD5504FC-0A8E-4AB7-AD2A-D6802181481F} - System32\Tasks\{0151A142-AF65-4D01-BF32-01AC1541C7FD} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {D0B3D2A8-5E45-42F2-9A85-726143DC5099} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {E8BC01A9-A259-434F-AD2B-B5ECA8F40272} - System32\Tasks\{ADA115D4-3DB2-4194-AB3B-997FAD2CE3DD} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-installed;madedefault Task: {F52B8B44-F692-4FFD-BB31-343470303CFE} - System32\Tasks\{352675B2-0931-423C-851F-F5D4B176660F} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered Task: {F94BFA3C-C5BD-4D6A-8570-7CAE15C00615} - System32\Tasks\{EC346AFA-455C-44BD-B66F-AED5516B4C5A} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Dana\AppData\Local\globalUpdate C:\Users\Dana\AppData\Roaming\istartsurf C:\Users\Dana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\Dana\PULPIT\Rózności\Norton Internet Security.lnk C:\Users\Public\Downloads\Norton C:\Windows\System32\Tasks\Norton Identity Safe CMD: for /d %f in (C:\Users\Dana\AppData\Local\{*}) do rd /s /q "%f" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Adware nabyłeś pobierając cracki do gier. To wszystko co poniżej wyliczone to nie są poprawne instalatory tylko downloadery ładujące adware - pomijając to, że w ogóle te pliki nie powinny być uruchamiane (to szkodniki i jest nikłe prawdopodobieństwo pobrania poprawnej docelowej kopii), to przy ich uruchamianiu raczej były dialogi na których można było odznaczyć instalację adware. To nie zostało zrobione, w konsekwencji w systemie katastrofa, te downloadery ładują mnóstwo inwazyjnych obiektów. ==================== One Month Created Files and Folders ======== 2015-04-02 17:42 - 2015-04-02 17:42 - 00689232 _____ (Navigation Co., Ltd.) C:\Users\eafae\Downloads\Bnd_200_262_201533_1844.exe 2015-04-02 17:35 - 2015-04-02 17:35 - 08410016 _____ (Beijing Fantasy Game Network Technology Co., Ltd.) C:\Users\eafae\Downloads\somont.exe 2015-04-02 17:33 - 2015-04-02 17:33 - 00670816 _____ (HTabp.com) C:\Users\eafae\Downloads\ex.exe 2015-04-02 17:28 - 2015-04-02 17:28 - 00463560 _____ () C:\Users\eafae\Downloads\tasktr__7214_il109297.exe 2015-04-01 20:57 - 2015-04-01 20:58 - 01576464 _____ (Dummy, Ltd.) C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics]_10924_i48843529_il345.exe 2015-04-01 20:51 - 2015-04-01 20:51 - 00460800 _____ () C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics].exe 2015-03-28 15:44 - 2015-03-28 15:44 - 01484304 _____ (Dummy, Ltd.) C:\Users\eafae\Downloads\Fallout 3 PC full game DLC nosTEAM_10924_i47627008_il345.exe Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware: ContentMirror, CuoupEExteNosiuon, Faster Chrome Pro, MyPC Backup, NNewSaver, RandoomPPricce, TheAdBlock, youtubeadblocker. Od razu też starą zbędną wersję (to jest wersja dla Firefox i innych produktów Mozilla): Adobe Flash Player 16 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM -> DefaultScope {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=ds&ts=1427988833&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM-x32 -> DefaultScope {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM-x32 -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> DefaultScope {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.luckysearches.com/?type=sc&ts=1427988803&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179 BHO: CuoupEExteNosiuon -> {5c772b28-da63-44d0-b7cc-573ad8eda1b7} -> C:\Program Files (x86)\CuoupEExteNosiuon\lqBsXcvnwpcQTE.x64.dll [2015-04-09] () BHO: youtubeadblocker -> {9957d186-7af3-4b08-8c82-6e0c8d0bdcf8} -> C:\Program Files (x86)\youtubeadblocker\WaXJH7oEyTFcZB.x64.dll [2015-04-01] () BHO: NNewSaver -> {9a26cc8c-a13b-4be9-a36a-08bf087fb8fa} -> C:\Program Files (x86)\NNewSaver\4LrzUq6ZnIdi5F.x64.dll [2015-04-09] () BHO: SAlePluiss -> {e99ade3a-fb0b-42bd-9cde-1292e99c2e7d} -> C:\Program Files (x86)\SAlePluiss\HD9xIdQ6jgaAV5.x64.dll [2015-04-01] () BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-03-16] (Thinknice Co. Limited) BHO-x32: CuoupEExteNosiuon -> {5c772b28-da63-44d0-b7cc-573ad8eda1b7} -> C:\Program Files (x86)\CuoupEExteNosiuon\lqBsXcvnwpcQTE.dll [2015-04-09] () BHO-x32: youtubeadblocker -> {9957d186-7af3-4b08-8c82-6e0c8d0bdcf8} -> C:\Program Files (x86)\youtubeadblocker\WaXJH7oEyTFcZB.dll [2015-04-01] () BHO-x32: NNewSaver -> {9a26cc8c-a13b-4be9-a36a-08bf087fb8fa} -> C:\Program Files (x86)\NNewSaver\4LrzUq6ZnIdi5F.dll [2015-04-09] () BHO-x32: SAlePluiss -> {e99ade3a-fb0b-42bd-9cde-1292e99c2e7d} -> C:\Program Files (x86)\SAlePluiss\HD9xIdQ6jgaAV5.dll [2015-04-01] () ShellIconOverlayIdentifiers: [ExplorerEx] -> {E056AFDD-03E9-4D73-8D33-8FCCBCA73438} => C:\Users\eafae\AppData\Roaming\Macwebtoise\explorerEx64.dll () Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tasktr__7214_il109297.lnk Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Test Drive Unlimited Gold [R.G Mechanics].lnk HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). Task: {FC273C64-5B20-4D74-9DAF-2836C7690E46} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-25] (MyPC Backup) R2 82379c5f; c:\Program Files (x86)\SoftwareAssist\SoftwareAssist.dll [1625088 2015-04-02] () [File not signed] R2 BackupStack; C:\Program Files (x86)\MyPC Backup\BackupStack.exe [53832 2014-11-25] (Just Develop It) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158816 2015-03-16] (XTab system) R2 Sed; C:\Users\eafae\AppData\Roaming\ntsvc\ntsvc.exe [944184 2015-04-10] (Navigation Co., Ltd.) C:\Program Files\Bitdefender C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\CuoupEExteNosiuon C:\Program Files (x86)\Faster Chrome Pro C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\NNewSaver C:\Program Files (x86)\Opera C:\Program Files (x86)\RandoomPPricce C:\Program Files (x86)\SAlePluiss c:\Program Files (x86)\SoftwareAssist C:\Program Files (x86)\SystemMuscle C:\Program Files (x86)\UPCleaner C:\Program Files (x86)\XTab C:\Program Files (x86)\youtubeadblocker C:\ProgramData\1427396291.bdinstall.bin C:\ProgramData\{539d1ce0-9635-66e0-539d-d1ce09637382} C:\ProgramData\{a1ea5d08-0bb3-7f0c-a1ea-a5d080bb7420} C:\ProgramData\{bd984814-05cc-fe2a-bd98-8481405c2050} C:\ProgramData\{c5210046-4efe-624a-c521-100464ef0119} C:\ProgramData\BDLogging C:\ProgramData\eopfohhlindknnblhjplpohnmlecckii C:\ProgramData\IHProtectUpDate C:\ProgramData\okclledcblofbigbcaahjbfpegbgbfda C:\ProgramData\TheAdBlock C:\ProgramData\WindowsMangerProtect C:\Users\eafae\AppData\Local\Temp-log.txt C:\Users\eafae\AppData\Local\macasoft C:\Users\eafae\AppData\Local\Opera Software C:\Users\eafae\AppData\Roaming\EZDownloader C:\Users\eafae\AppData\Roaming\Macwebtoise C:\Users\eafae\AppData\Roaming\ntsvc C:\Users\eafae\AppData\Roaming\Opera Software C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup C:\Users\eafae\AppData\Roaming\QuickScan C:\Users\eafae\Desktop\MiniGet Smart Downloader.lnk C:\Users\eafae\Desktop\MyPC Backup.lnk C:\Users\eafae\Desktop\Sync Folder.lnk C:\Users\eafae\Downloads\Bnd_200_262_201533_1844.exe C:\Users\eafae\Downloads\ex.exe C:\Users\eafae\Downloads\Fallout 3 PC full game DLC nosTEAM_10924_i47627008_il345.exe C:\Users\eafae\Downloads\kurulum.exe C:\Users\eafae\Downloads\somont.exe C:\Users\eafae\Downloads\tasktr__7214_il109297.exe C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics].exe C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics]_10924_i48843529_il345.exe C:\Users\eafae\Downloads\Test-Drive-Unlimited---crack.rar C:\Users\eafae\Downloads\test_drive_unlimited_pl_patch_vistapl.zip C:\Users\eafae\Downloads\test_drive_u.rar C:\Users\eafae\Downloads\TEST.DRIVE.UNLIMITED.V1.66A.ALL.HATRED.NOCD.ZIP C:\Windows\system32\bdsandboxuh.dll C:\Windows\system32\bdsandboxuiskin.dll C:\Windows\system32\Drivers\avchv.sys C:\Windows\system32\Drivers\bdelam.sys C:\Windows\system32\Drivers\bdsandbox.sys C:\Windows\system32\Drivers\bdvedisk.sys C:\Windows\system32\Drivers\Msft_Kernel_avchv_01009.Wdf C:\Windows\SysWOW64\bdsandboxuiskin32.dll Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Worms Armageddon 3.7.0.0 [WinXP-7-8] [cd version].lnk" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Wprawdzie zadałam "IncrediMail MediaBar 2 Toolbar" do deinstalacji, ale wiedziałam, że to uszkodzony obiekt (to widać w raportach), więc nie dziwi ten błąd który prezentujesz. Szczątki zostaną dokasowane ręcznie. Wszystkie operacje przeszły gładko, teraz poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-511461997-2466024275-2353699939-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Adrian\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-511461997-2466024275-2353699939-1000\...\Run: [Facebook Update] => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2012-07-12] (Facebook Inc.) Task: {528447B5-ADB9-442A-AAED-93D65E8E3A18} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000Core => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.) Task: {52E15BC4-A270-4A0F-A388-EA3EAD5117FB} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000UA => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.) Task: {A8DD4626-7700-4416-BCAC-1AA83F86D427} - System32\Tasks\{2EEE7391-6628-4EB8-9116-4B20D7B8A8FA} => pcalua.exe -a C:\PROGRA~2\INCRED~2\UNWISE.EXE -c /U C:\PROGRA~2\INCRED~2\INSTALL.LOG Task: {C640B76F-6410-4B19-A545-8EC90FC9AA51} - System32\Tasks\{D3A2E4D1-6BF6-4E77-BC4B-007001C90113} => pcalua.exe -a C:\Users\Adrian\Downloads\WDM_A406.exe -d C:\Users\Adrian\Downloads Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000Core.job => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000UA.job => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe RemoveDirectory: C:\Program Files (x86)\Asprate RemoveDirectory: C:\Program Files (x86)\IncrediMail_MediaBar_2 RemoveDirectory: C:\Users\Adrian\AppData\Local\Facebook RemoveDirectory: C:\Users\Adrian\Downloads\FRST-OlderVersion RemoveDirectory: C:\Users\Ilona RemoveDirectory: C:\Users\TomeczeK Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\IncrediMail_MediaBar_2 Toolbar" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane. 1. Poprawki na szczątki po programach. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk * sdnclean64.exe S2 KMService; C:\Windows\system32\srvany.exe [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Program Files (x86)\AVG Web TuneUp C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Na wszelki wypadek przeprowadź skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś znajdzie, przedstaw wyniki.

Trudno ustalić skąd BSOD przy GMERze, może Symantec mu się nie podobał. Wszystkie zadania pomyślnie wykonane. Kolejny krok: Uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

ESET został pomyślnie usunięty, infekcja DNS również i są już adresy Netii: Tcpip\Parameters: [DhcpNameServer] 62.233.233.233 87.204.204.204 Jak sygnalizowałam, Google Chrome wygląda dziwnie. Proponuję reinstalację od zera: 1. Wyeksportuj tylko zakładki, następnie zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wybierz opcję Usuń także dane przeglądarki. Przy okazji odinstaluj także inne stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI. 2. Otwórz Notatnik i wklej w nim: S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2014-11-26] (ESET) C:\Program Files (x86)\Google\Chrome C:\Users\Admin\AppData\Local\Google\Chrome C:\Users\Admin\AppData\Local\Google\Chrome SxS C:\Windows\system32\Drivers\ESETCleanersDriver.sys Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zainstaluj najnowsze Google Chrome - link w przyklejonym w sekcji aktualizacji programów: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy Google Chrome działa poprawnie. Nadal jest problem z kontem UpdatusUser i log FRST niezmiennie wykazuje powiązanie ze ścieżką tymczasową, już nowa została wyasygnowana: UpdatusUser (S-1-5-21-1926088973-195376477-783835292-1004 - Limited - Enabled) => C:\Users\TEMP.TAFA-Komputer.000 Czy na dysku w ogóle jest folder C:\Users\UpdatusUser?