picasso

Czy był jakiś problem z uruchomieniem opcji Fix w FRST? Skrypt (jednorazowego użytku) został uruchomiony więcej niż raz. Poza tym zawirowaniem wszystko wygląda na wykonane. Kolejna faza działań: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Zadanie wykonane. Na koniec znajome kroki z zastosowaniem DelFix (pobrany FRST usuń ręcznie, bo siedzi w podfolderze nie skanowanym przez narzędzie) i czyszczeniem folderów Przywracania systemu: KLIK.

Tak, one zostały, bo podczas pisania posta było aktywne adware i post się zapisał w taki sposób. Zostawiam to, gdyż to wizualizuje jaki był początkowy problem. Wszystko pomyślnie przetworzone. Drobnostki jeszcze. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Czarny Żółty\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Czarny Żółty\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\Czarny Żółty\Downloads\kld54xxn.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

Wszystko zrobione. Teraz: 1. Przez SHIFT+DEL (omija Kosz) usuń ręcznie ten skrót po adware, gdyż ze względu na dziwne znaki FRST nie był w stanie tego przetworzyć: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download O.S.T.R - Podrż Zwana Życiem _2015_ [mp3@320kbps] Torrent - KickassTorrents.lnk 2. Zainstaluj świeże Google Chrome - linki w przyklejonym w sekcji aktualizacji programów: KLIK. Zrób nowy log FRST (bez Addition i Shortcut) mający potwierdzić, że nowa instalacja nie odziedziczyła żadnych złych ustawień.

Ta infekcja stosuje nową metodę ładowania, której jeszcze skan FRST nie wychwytuje. Na razie podaj dodatkowe informacje: Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\Google Folder: C:\Program Files (x86)\Mozilla Firefox CMD: type "C:\Program Files (x86)\Google\Chrome\Application\master_preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. Dostarczony GMER doklejam do pierwszego posta, bo tak to miało być od razu podane. Ale już wyniki o które proszę powyżej w nowym poście przedstawiasz.

Tak, bo punkt 3, czyli Fix FRST w ogóle nie został wykonany ... Proszę otwórz Fixlog i porównaj z moim skryptem w poście - całkowicie zniekształcona treść, wszystkie linie posklejane, komendy nie wykonały się. Powtarzaj punkty 3 + 4, skrypt przeklejony do Notatnka musi mieć identyczne przejścia do nowej linii jak w moim poście. Jeśli używasz przeglądarkę IE do przeklejania treści, skorzystaj z innej. Tak, Uninstall na Primary IDE i restart komputera.

Myślę, że sprawa jest rozwiązana. Ostatni skrypt poprawkowy na koncie Mateusz - do Notatnika wklej: HKU\S-1-5-21-606281877-1479866930-3929170589-1003\...\Run: [DAEMON Tools Lite] => "C:\Programy\DAEMON Tools Lite\DTLite.exe" -autorun RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Pomiń tę pozycję i przejdź do wykonania punktów 3+4.

Skrypt uruchomiłeś na koncie Tomek a nie Mateusz jak wskazywałam, dlatego też niektóre wpisy Mateusza (nie związane z infekcją) nie zostały przetworzone. Teraz jest kompletnie inna rzecz w logu, a mianowicie widać śmiecia ActiveCoupon w Firefox konta Tomek, ale konsekwentnie nic nie widać na koncie Mateusz. Czy na pewno problem jest też w Firefoxie konta Mateusz? Sprawdzaj to po pełnym wylogowaniu poprzez restart. Na razie zresetuj Firefoxa (menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox) na koncie Tomek i podaj rezultaty czy nadal są problemy z reklamami.

Zostaw osłony Avast wyłączone do czasu zrobienia raportów z FRST.

Jak sądzę, wykonywałeś jakieś akcje przez uruchomieniem mojego skryptu, gdyż skrypt mimo że był uruchomiony po raz pierwszy, prawie nic nie znalazł. Drobnostki jeszcze, tzn. usunięcie profilu Google Chrome (wygląda na odinstalowane): Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\admin\AppData\Local\Google Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wyłącz osłony Avast na czas wykonywania poleceń i kontynuuj. Tak, wiem o tym - w logach widać zmodyfikowane skróty LNK przeglądarki z dopisanym tym adresem i inne miejsca z tym przekierowaniem. Uwzględniam to w skrypcie FRST.

Nie zostaje nic innego jak pożyczyć / kupić przejściówkę do PS2 lub klawiaturę tego typu.

Temat porządkuję. Nie widać oznak czynnej infekcji - tylko szczątki adware / programów, SpyHuntera też już nie widać. Kosmetyka: 1. Deinstalacje: - Przez Panel sterowania odinstaluj starą wersję Adobe Flash Player 16 ActiveX oraz zbędnik McAfee Security Scan Plus - przypuszczalnie instalacja sponsorowana: KLIK. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {21E31FC9-EC8A-4369-BB0B-3897DBE025D3} - System32\Tasks\{3BEBCE3C-7B77-406B-8AB9-15F060EA243E} => pcalua.exe -a "C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe" Task: {5732C50C-43BE-47DA-82D1-7F5AD79DF059} - System32\Tasks\{EB3D7B23-75B0-4085-852A-279FE6E1508A} => pcalua.exe -a "C:\Users\Myszka\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\T7T1GO8Z\Firefox%20Setup%2010.0.1[1].exe" -d C:\Users\Myszka\Desktop Task: {597E4FB5-A88B-4AB1-8D15-C91C4CADDF93} - System32\Tasks\{80321BEA-17CF-4AF8-B504-41174427D968} => pcalua.exe -a C:\Users\Myszka\AppData\Roaming\luckysearches\UninstallManager.exe -c -ptid=amt Task: {75DB3398-2FFB-4A30-82C9-251A15141B57} - \ProtectedSearch\Protected Search No Task File Task: {7BE3628D-AB1D-43F7-881B-CDB426F120E4} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {93A2A421-BD99-419D-8904-E1C9257A3FEA} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe Task: {A00E6391-D4EE-4A4A-A132-6BEFA0BCAD4D} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe Task: {B4FA1517-CA4F-4C02-932F-4470626A9E8F} - System32\Tasks\{0B2C4B0F-234A-460C-9BA1-49EE6986B966} => pcalua.exe -a C:\Users\Myszka\AppData\Roaming\webssearches\UninstallManager.exe Task: {CBF4080B-805A-4E1C-B962-DD78581BB81D} - System32\Tasks\{0146FDF1-FC1D-4481-B2A7-0DB8A6A9587A} => C:\Users\Myszka\AppData\Local\Temp\Sims 4 Keygen 2.5__5160_i1491954991_il22395.exe Task: {DC590EA0-3E1E-4C5C-9269-F0299C847F7B} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EAB50C14-1B73-4176-A456-3C68240E00B5} - System32\Tasks\{0E1A200D-7852-476A-B772-0FE717FF480B} => pcalua.exe -a E:\Install.exe -d E:\ Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\...\Run: [msnmsgr] => ~"C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background GroupPolicy: Group Policy on Chrome detected CHR HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://de.yahoo.com?fr=hp-avast&type=avastbcl HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://de.yahoo.com/?fr=hp-avast&type=avastbcl SearchScopes: HKLM-x32 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://de.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-2195184045-3265951034-2981680463-1232 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: browse pulse -> {6db6de7f-f4a2-4479-902d-9e7b7ad55306} -> C:\Program Files (x86)\browse pulse\Extensions\6db6de7f-f4a2-4479-902d-9e7b7ad55306.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: IEExtension.VDownloaderBHO -> {7b523e7c-f096-4e36-a0cb-7efeb5c675c1} -> C:\windows\SysWOW64\mscoree.dll [2010-11-05] (Microsoft Corporation) BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll [2014-05-09] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll [2014-05-09] (Google Inc.) FF Plugin HKU\S-1-5-21-2195184045-3265951034-2981680463-1000: vitzo.com/VDownloader -> D:\VDownloader\Addons\npVDownloader.dll No File FF HKLM-x32\...\Firefox\Extensions: [support@vdownloader.com] - D:\VDownloader\Addons\FireFox CHR HKLM-x32\...\Chrome\Extension: [eoccbpoodnckjdnackiffhjfkogfhnhh] - D:\VDownloader\Addons\Chrome.crx [Not Found] StartMenuInternet: Google Chrome - chrome.exe StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] C:\Program Files (x86)\Opera C:\Program Files (x86)\STOPzilla C:\Program Files (x86)\Common Files\ApnStub.exe C:\Program Files (x86)\Common Files\WinPcapNmap.exe C:\ProgramData\{*}.log C:\ProgramData\0551095.pad C:\ProgramData\Amazon.ico C:\ProgramData\MercadoLivre.ico C:\ProgramData\Skype C:\ProgramData\STOPzilla! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deinstalator Strony V9.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VDownloader C:\Users\Myszka\AppData\Local\2DC2BF20-1428240290-11B2-8000-D7E3A08229B2 C:\Users\Myszka\AppData\Local\2DC2BF20-1428240123-11B2-8000-D7E3A08229B2 C:\Users\Myszka\AppData\Local\AdFender C:\Users\Myszka\AppData\Roaming\2DC2BF20-1428232832-11B2-8000-D7E3A08229B2 C:\Users\Myszka\AppData\Roaming\IDM C:\Users\Myszka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\VDownloader.lnk C:\Users\Myszka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Seamonkey /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Edge trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj go ponownie, chodzi o poprzednie wyniki). Poza tym pytanie: czy Google Chrome jest sprawne? Brak wejścia na liście zainstalowanych, mimo że widzę skróty i profil przeglądarki na dysku.

Mimo wszystko instrukcje były robione inaczej, ponieważ mój skrypt uruchomiony po raz pierwszy nie znalazł większości obiektów, czyli były manipulacje w międzyczasie - widać, że był uruchamiany AdwCleaner. Drobne poprawki: Otwórz Notatnik i wklej w nim: URLSearchHook: HKLM-x32 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll No File URLSearchHook: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll No File Toolbar: HKLM-x32 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll No File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WapSter Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

Program YAC (Yet Another Cleaner) to szkodnik i oszust: KLIK! Nie instaluj już więcej tego dziadostwa. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [48784 2014-12-30] (StdLib) R1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64; C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys [48784 2015-01-02] (StdLib) R1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64; C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys [48784 2015-01-05] (StdLib) R1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [48784 2014-12-27] (StdLib) R1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [48784 2014-12-25] (StdLib) S3 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [484952 2014-05-30] (Symantec Corporation) S3 EraserUtilRebootDrv; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [137648 2014-05-30] (Symantec Corporation) [File not signed] R2 OnlineMapFinder_9pService; C:\Program Files (x86)\OnlineMapFinder_9p\bar\3.bin\9pbarsvc.exe [90696 2014-09-10] (Mindspark) R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [405232 2015-04-07] () R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [405232 2015-04-07] () S3 MEMSWEEP2; C:\Windows\system32\7969.tmp [6144 2011-05-12] (Sophos Plc) [File not signed] S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] Task: {5EF66B58-FD4B-426E-ACE0-3777DE38B7E7} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {60A561B7-6128-4FBC-8FA4-3478ABC3C177} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {EB6ACF4C-5B1C-4113-BFD0-392B6DE28786} - System32\Tasks\Price Fountain => C:\Users\justynka\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {FCCC593C-6416-426C-8233-674E2F9F240B} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\justynka\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE HKLM\...\Run: [] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2535683076-3279026183-770477073-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426432548&from=cor&uid=TOSHIBAXMQ01ABF050_343UCPCNTXX343UCPCNT&q={searchTerms} URLSearchHook: HKU\S-1-5-21-2535683076-3279026183-770477073-1001 - (No Name) - {6d010537-9e99-400b-b652-b0d5a5757e5d} - No File SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2535683076-3279026183-770477073-1001 -> {EFC0AAC0-0D53-4499-A0E6-C37FBCEF3E55} URL = FF Plugin-x32: @OnlineMapFinder_9p.com/Plugin -> C:\Program Files (x86)\OnlineMapFinder_9p\bar\3.bin\NP9pStub.dll No File CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx C:\Program Files (x86)\Common Files\Symantec Shared C:\Program Files (x86)\Hold Page C:\Program Files (x86)\OnlineMapFinder_9p C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\ProgramData\Norton C:\ProgramData\WildTangent C:\ProgramData\Microsoft\Windows\GameExplorer\{e923cba5-ed90-4670-bf07-064d14a1cd55} C:\ProgramData\Microsoft\Windows\GameExplorer\{d58eecb0-0816-11de-8c30-0800200c9a66} C:\ProgramData\Microsoft\Windows\GameExplorer\{c3c636e0-1b04-11de-8c30-0800200c9a66} C:\ProgramData\Microsoft\Windows\GameExplorer\{3eda1e54-8889-41f5-a649-5a306789b7ef} C:\ProgramData\Microsoft\Windows\GameExplorer\{26352374-af55-4b53-b07b-6b0288ed97df} C:\ProgramData\Microsoft\Windows\GameExplorer\{22A975C0-D22F-482C-A387-637EEC15870F} C:\ProgramData\Microsoft\Windows\GameExplorer\{227680FF-28CE-48EE-AADF-8D009B2813A9} C:\ProgramData\Microsoft\Windows\GameExplorer\{000d96f5-8034-4b74-a429-b6f0b04c75f4} C:\Users\justynka\AppData\Local\Pay-By-Ads C:\Users\justynka\AppData\Roaming\PriceFountain C:\Users\justynka\Desktop\wszystko\2009-02-10 justnka\IMG_9093.lnk C:\Users\justynka\Desktop\wszystko\2009-02-10 justnka\TOSHIBA DVD PLAYER.lnk C:\Users\justynka\Desktop\wszystko\2009-02-10 justnka\18-stka frycka\*.lnk C:\Windows\System32\*.tmp C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys C:\Windows\System32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys C:\Windows\System32\log C:\Windows\System32\Tasks\Norton Anti-Theft DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

A gdzie plik fixlog.txt z wynikami przetwarzania skryptu? Chodzi o log, który powstał podczas tamtego podejścia - nie uruchamiaj skryptu ponownie. Czy te operacje w ogóle były prowadzone? Ja nadal widzę wpis startowy Google Chrome oraz dziwne nowe zmiany (dodane obiekty których nie ma w systemie Windows 8, np. WPDShServiceObj)... Co robiłeś na własną rękę, czy używałeś jakieś konkretne narzędzie?

Widzę, że stosowałeś SpyHunter - z daleka od tego wątpliwego programu. W logu FRST widać w starcie komponent adware - aktywny Skyrim.exe, poza tym jakieś szczątki adware. Rozumiem, że problem reklam jest w przeglądarce domyślnej, czyli Firefox i to na obu kontach. Nie widać nic jawnego w Firefox, przypuszczalnie więc jest tu to nowe adware stosujące trik "domyślnych preferencji" ładowanych globalnie. Potrzebny dodatkowy skan. Wstępnie na koncie Mateusz: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Skyrim.lnk CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-606281877-1479866930-3929170589-1003\...\Run: [DAEMON Tools Lite] => "C:\Programy\DAEMON Tools Lite\DTLite.exe" -autorun S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] C:\Program Files (x86)\LibraryInit C:\Program Files (x86)\QUickViiewer C:\ProgramData\{a713057d-0083-e053-a713-3057d00815f4} C:\ProgramData\{dd241b1e-5239-4c1b-dd24-41b1e5236c79} C:\ProgramData\837574326449480470 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Formatter C:\Users\Mateusz\AppData\Local\Temp-log.txt C:\Users\Mateusz\Desktop\Nowy folder (2)\Wiedzmin\witcher-MCE.lnk C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Andy C:\Users\Tomek\Start Menu\Programs\SpyHunter Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W pasku eksploratora wklej poniższą ścieżkę (tak, konta Tomek, a nie Mateusz) i ENTER: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Miałam na myśli użycie klawisza F8 przy starcie, a nie konfigurację msconfig, gdyż w przypadku jakiejś awarii system ustawiony na awaryjny metodą msconfig nie wyjdzie z pętli startu do Trybu awaryjnego. Wygląda na to, że owszem jest to problem USB, w awaryjnym nie ładują się wymagane sterowniki. Sprawdź czy jesteś w stanie wejść do BIOS i tam wyszukaj + aktywuj opcję brzmiącą podobnie do Enable USB Legacy Support.

- Ten typ rozszerzeń to inna kategoria niż klasyczne adware / malware, są to rozszerzenia teoretycznie "poprawne" tylko wbogacone (dodatkowy skrypt / linia w kodzie). Multum skanerów nic nie wykrywa, właściwie to nie wiem czy są jakiekolwiek skanery które wykrywają precyzyjnie te wstawione komponenty. - AdwCleaner nie jest wszechmocny, szybciej wykryję problem na podstawie raportu niż używając AdwCleaner. Problem z tym programem polega na tym, że wyszukiwanie adware jest robione wg prymitywnej metody nazw i ścieżek, a definicje w dużej mierze zależą od zgłoszeń community. Sprawdzasz niewłaściwy kontroler, ten na którym nie ma żadnych urządzeń, widać przecież na obrazku numer dwa że Podstawowy i Pomocniczy są całkowicie puste. Ty masz sprawdzić ten kontroler na którym jest dysk twardy - wg obrazka to pewnie jest Intel Serial ATA Storage. Powtarzaj zadanie: posortuj urządzenia wg połączeń, rozwiń gałęzie tak, by było widać dysk twardy i to właściwości kontrolera na któryum siedzi mają być sprawdzone. Skrypt jest jednorazowy i nie wolno go użyć więcej niż raz. On nie miał nic wspólnego z czyszczeniem przekierowań w przeglądarkach, robił tylko dodatkową kosmetykę. Jeśli chodzi o nawrót problemu, to: 1. Samoistne odtworzenie się rozszerzeń wskazuje, że jest włączona synchronizacja, a wyraźnie mówiłam, by ją wyłączyć: KLIK. 2. W logu widać ponownie FVD Video Downloader. Odinstaluj go (po wykonaniu punktu 1).

Fix wykonany. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany, zamykam.

Wprawdzie poprzednie rzeczy usunięte, ale w logu nowe bardzo niekorzystne zmiany i nowa masowa infekcja adware... W tej sytuacji potrzebne mi są teraz także logi FRST Addition + Shortcut. Zrób je i dołącz.

MBAM zostaw sobie do skanów na żądanie, pełna ochrona z rezydentem jest niestety płatna. Skoro program nic nie wykrył, to możemy kończyć: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy Internet Explorer (wykrywana strasznie stara wersja IE8). Wszystkie kroki opisane tutaj: KLIK.

Log FRST wskazuje, że jest tu infekcja routera - widzę Cię na forum pod IP polskiego dostawcy, a z routera jest pobierany zachodni: KLIK. Tcpip\Parameters: [DhcpNameServer] 104.236.63.225 8.8.8.8 Zaś instalacja AVG w sytuacji, gdy nie został odinstalowany ESET Smart Security to był błąd, to mogło nawet zablokować start systemu. Trzeci problem to wadliwe konto UpdatusUser od nVidia, które utraciło dostęp do własnego katalogu: ==================== Accounts: ============================= UpdatusUser (S-1-5-21-1926088973-195376477-783835292-1004 - Limited - Enabled) => C:\Users\TEMP.TAFA-Komputer.003 ==================== Event log errors: ========================= Application errors: ================== Error: (04/02/2015 10:02:10 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1511) (User: TAFA-Komputer) Description: System Windows nie może znaleźć profilu lokalnego i loguje użytkownika przy użyciu profilu tymczasowego. Zmiany wprowadzone w profilu zostaną utracone po wylogowaniu. Do wykonania następujące akcje: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przejdź w Tryb awaryjny Windows i zastosuj ESET Uninstaller. 3. Uruchom Reprofiler i przekieruj konto UpdatusUser na ścieżkę C:\Users\UpdatusUser (o ile istnieje). 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1926088973-195376477-783835292-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF NetworkProxy: "type", 4 U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 Update Hold Page; "C:\Program Files (x86)\Hold Page\updateHoldPage.exe" [X] S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [47632 2013-04-29] (Panda Security, S.L.) S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X] S3 avchv; system32\DRIVERS\avchv.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {3A0FEC26-07CB-4BED-A670-27C6242DDFED} - System32\Tasks\{02D7EBDC-5B09-4132-A48D-E7EB641BBF64} => pcalua.exe -a "C:\Users\TAFA\Desktop\Faktury Express 5\unins000.exe" -d "C:\Users\TAFA\Desktop\Faktury Express 5" Task: {5062DD93-DA8A-4736-9BB3-6ED7534AD7C5} - System32\Tasks\{DB5559BD-5582-4A8C-9482-E5D79154BBF6} => C:\Program Files (x86)\Polpress\Faktury Express 5\Faktury5.exe Task: {8071CC89-E1B1-47FB-8749-F6A18E310D19} - System32\Tasks\{C8125838-BF18-4A19-A84B-A5CD94BF2494} => D:\Program Files (x86)\Polpress\Faktury Express 8\Faktury.exe Task: {90DE59E6-C0CA-4E33-A574-DFF985C78FC4} - System32\Tasks\{907F0D9D-78F5-425B-BCC7-2202A296BE31} => pcalua.exe -a C:\Users\TAFA\Downloads\Setup(1).exe -d C:\Users\TAFA\Downloads Task: {F00C4978-14DE-4502-8338-E318A84983C3} - System32\Tasks\{6A76267C-7CCF-46ED-A6EE-4200A7CFAAF8} => E:\Application\OCR\setup.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Faktury Express 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2011 SuperPłace C:\ProgramData\TEMP C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (*).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Explorer (*).lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Windows Media Player (*).lnk C:\Users\Admin\Desktop\Continue Icecream PDF Converter installation.lnk C:\Users\Admin\Downloads\jxpiinstall*.exe C:\Windows\System32\DRIVERS\PSKMAD.sys RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.000 RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.001 RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.002 RemoveDirectory: C:\Users\TEMP.TAFA-Komputer.003 CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Podsumuj na czym stoimy. Wypowiedź się też, czy Google Chrome jest zainstalowane i sprawne, gdyż wg logów nie za bardzo, choć ścieżka istnieje na dysku.

Gładko poszło. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware i dostarcz wyniki.