picasso

Niestety te pliki wyglądają na infekcję CryptoWall, odszyfrowanie plików jest niemożliwe: KLIK. Widzę, że już próbowałeś ShadowExplorer, ale to raczej nie miało prawa zadziałać, infekcja kasuje wszystkie punkty Przywracania systemu, tu w logu są widoczne tylko świeże (pewnie zbyt świeże): ==================== Restore Points ========================= 25-03-2015 14:21:37 Windows Update 25-03-2015 14:22:54 Windows Update 25-03-2015 15:18:53 Windows Update 25-03-2015 15:27:43 Windows Update Moja rola ograniczy się tylko do usunięcia masowo dodanych przez infekcję plików typu HELP_DECRYPT.*, wpisów pustych i innych działań pobocznych: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Flash Player 15 ActiveX, Java 7 Update 45, Adobe Reader 9.4.6 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 69feaa; \??\C:\Windows\system32\drivers\69feaa.sys [X] S1 fbae2e; \??\C:\Windows\system32\drivers\fbae2e.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] CustomCLSID: HKU\S-1-5-21-2876564938-2257608469-1536796064-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\dbnmpntw.dll No File Task: {CE9C5DC1-F887-498C-9C12-3F268EF8703C} - System32\Tasks\{FD745C39-5BEE-4CB8-975A-4B54B58A5957} => pcalua.exe -a E:\Photoshop_CS4_Portable\PhotoshopPortable.exe -d E:\Photoshop_CS4_Portable HKLM\...\Run: [Adobe ARM] => "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-2876564938-2257608469-1536796064-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-2876564938-2257608469-1536796064-1000\...\Policies\Explorer: [HideSCAHealth] 0 C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\hj60ttrj.fee C:\ProgramData\odh8wlx1.fee C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4} CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nadal w systemie szkodliwe polityki Google wprowadzone przez adware. Do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {8E6E48A1-D360-44E6-BF51-F35325E7E49C} - System32\Tasks\{6C447920-D647-4233-8D11-CA424AA0ECE7} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {9DE57004-744B-4290-8CA6-2FC7AE90A540} - System32\Tasks\{7F0D526D-2A4D-4B2C-B97F-B75B43FE166C} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {D31BCFD6-32C2-46D7-8D09-F94A9B27AEF0} - System32\Tasks\{E59A7C35-0466-49F1-97A1-5BA63D80F9CE} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {E9C3C044-2771-4493-AACE-21374220874C} - System32\Tasks\{0576DEFB-A973-4C45-A717-65D7B040A1BD} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar C:\ProgramData\{*}.log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Uruchamiają się szkodliwe zadania w Harmonogramie Windows, Poza tym, w Firefox widać niepożądane rozszerzenia: Fast Start, Mozilla Firefox Hotfixer i Zoom It. Akcje do przeprowadzenia: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {544B818A-FA33-44EC-9516-1BE6C73970C5} - System32\Tasks\WOYWFU => C:\Users\admin\AppData\Roaming\WOYWFU.exe [2015-03-29] (InstallMoonV29.03) Task: {A1165B29-385C-449F-BD11-1F45358A9CAE} - System32\Tasks\PQST => C:\Users\admin\AppData\Roaming\PQST.exe [2015-03-29] (InstallMoonV29.03) Task: C:\Windows\Tasks\PQST.job => C:\Users\admin\AppData\Roaming\PQST.exe Task: C:\Windows\Tasks\WOYWFU.job => C:\Users\admin\AppData\Roaming\WOYWFU.exe HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [mbot_pl_186] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\Google C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Roaming\Opera Software C:\Users\admin\AppData\Roaming\PQST C:\Users\admin\AppData\Roaming\PQST.exe C:\Users\admin\AppData\Roaming\WOYWFU C:\Users\admin\AppData\Roaming\WOYWFU.exe C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

W raporcie widzę ogólne komponenty globalUpdate i zadania w Harmonogramie. Zawartość Opery całkowicie nieznana - FRST nie skanuje tej strasznej staroci jaka tu jest zainstalowana, tzn. Opera 10/11, FRST skanuje tylko Opera 15.x i nowsze. Wstępne działania: 1. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Flash Player 9 ActiveX, Adobe Shockwave Player 12.1, Java 7 Update 7, Java™ 6 Update 20, Opera 10.51 i Opera 11.11. Jeśli już ma być instalowana ta archaiczna linia Opery, to musowo wersja 12.17 z łatą na krytyczną lukę Heartbleed. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy Google Update Helper > Dalej. Są dwa, czyli należy uruchomić narzędzie dwa razy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-1.job => C:\Program Files\Go HD\Go HD-codedownloader.exeu/wJPTWBVa /AeTvrfwG=task /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /YLMRn=http:/js.infodatacloud.com /FiGoiP=opera /hRweu='Go HD' /lElCwfx=http:/js.clientdemocloud.com /tzhHt /teJhlb='{asw:[67108866, -2147483580, 1024]}' /VrLZe='http:/update.infodatacloud.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.exe Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.exeű/ObJNSqL /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /HTPGGFPS=11111111-1111-1111-1111-110611211180 /FiGoiP=opera /tzhHt /VrLZe='http:/update.infodatacloud.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.exe=/PVteWFCNX /gAQAOY='Go HD' /uHekwvYT C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1.xpi' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /nxXnahUI=300 /CPNOgP=sonnypenn@aol.com /XYjoEfN=0.95 /fgsZuMYq=asonnypennaolcom62180 /sJrxRJg=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/62180.rdf /VGWLKhePV='Go HD' /bECZhW='HD' /qMXVDGGkH='InstallMoon' /FiGoiP=opera /teJhlb='{asw:[67108866, -2147483580, 1024]}' /tzhHt /aPKlRJboZ /wVuHpqjsD /VrLZe='http:/update.infodatacloud.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.exe*/Omivbbo /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /pEZfO=http:/ipgeoapi.com/ /ZcKbO=http:/update.infodatacloud.com /KQRCDih=2 /YGAxzBN=http:/logs.infodatacloud.com /VrLZe='http:/update.infodatacloud.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\fun_coupons_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_notification_service.exeç/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun coupons' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1427979308' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\fun_coupons_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_updating_service.exe¬ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun_coupons_updating_service /funurl=http:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\quiz_games_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_notification_service.exeć/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='quiz games' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1428000839' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\quiz_games_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_updating_service.exe« /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=quiz_games_updating_service /funurl=http:/stats.buildomserv.com FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF HKLM\...\Firefox\Extensions: [{3f963a5b-e555-4543-90e2-c3908898db71}] - C:\Program Files\AVG\AVG9\Firefox FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl HKU\S-1-5-21-823518204-688789844-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File [] DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-823518204-688789844-682003330-500_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> G:\Mechanical 2012 z Mechanical Desktop\zainstalowane\AutoCAD Mechanical 2012\acad.exe No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Administrator\Dane aplikacji\EEYUapomOpv0Nife C:\Documents and Settings\Administrator\Dane aplikacji\f80X2gBVs5F0Egckh C:\Documents and Settings\Administrator\Dane aplikacji\kXw3rrWBcGOcmQKPdKY C:\Documents and Settings\Administrator\Dane aplikacji\ZwwMw8rLRrMZg C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games C:\Program Files\globalUpdate C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj Internet Explorer 8: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy.

W podanych raportach brak oznak infekcji, za to widać zainstalowany crack KMSpico. Wyniki skanów: - MBAM: PUP.Optional.Somoto to drobny plik w Temp związany z instalacjami adware. Nic szczególnego. Uruchamiałeś po prostu instalator jakiegoś programu, który miał wbudowany interfejs oferowania sponsorów. - AVG: Koń trojański Pakes to crack do którejś gry zainstalowany celowo, a wykryty przez AVG, gdy nawigowałeś w eksploratorze Windows. Nie wiadomo czy było to faktyczne zagrożenie. Wdróż tylko działania kosmetyczne: 1. Odinstaluj ten przestarzały konstrukcyjnie Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" SearchScopes: HKU\S-1-5-21-3439509189-42378888-3891444633-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\Temp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Poprzednie zadania wykonane. W związku z tym, że nic już nie widać w raporcie, to adware w Firefox musi siedzieć w globalnej lokalizacji, której nie obejmuje reset Firefox, i to takiej której nie skanuje FRST (czyli nie rozszerzenia i wtyczki tylko inna modyfikacja). W skrypcie FRST pobierałam ogólny DIR folderu Firefox. I są niepożądane obiekty. Pomijając pliki typu FA*.tmp w katalogu Firefox, za tę infekcję z hyperlinkami odpowiadają my.cfg i my-prefs.js utworzone tego samego dnia, dodatkowo jest jeszcze skrypt badań Gemius (KLIK): 2015-03-25 20:35 - 2015-03-25 20:35 - 0013494 _____ () C:\Program Files (x86)\Mozilla Firefox\my.cfg 2015-03-25 19:32 - 2015-03-25 19:32 - 0000088 _____ () C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js 2015-03-22 10:54 - 2015-03-03 18:08 - 0000082 _____ () C:\Program Files (x86)\Mozilla Firefox\defaults\pref\all-gemius.js Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type "C:\Program Files (x86)\Mozilla Firefox\my.cfg" CMD: type "C:\Program Files (x86)\Mozilla Firefox\defaults\pref\all-gemius.js" CMD: type "C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js" C:\Program Files (x86)\Mozilla Firefox\*.tmp C:\Program Files (x86)\Mozilla Firefox\my.cfg C:\Program Files (x86)\Mozilla Firefox\defaults\pref\all-gemius.js C:\Program Files (x86)\Mozilla Firefox\browser\defaults Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. Potwierdź ustąpienie objawów adware z Firefox.

Malware wprowadziło polityki oprogramowania blokujące programy zabezpieczające. Do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [tray_ico0] => [X] HKLM\...\Run: [tray_ico] => [X] HKLM\...\Run: [tray_ico1] => [X] HKLM\...\Run: [tray_ico2] => [X] HKLM\...\Run: [tray_ico3] => [X] HKLM\...\Run: [tray_ico4] => [X] HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-860636357-3192807667-3840191364-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-860636357-3192807667-3840191364-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = Toolbar: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File CustomCLSID: HKU\S-1-5-21-860636357-3192807667-3840191364-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\pawelix\Downloads\non-stop-pol-5699217.exe No File Task: {68DFD31E-5AC8-40D9-A90D-A5514A53BBC6} - System32\Tasks\{6CA1D13D-686E-4637-B49B-CA5189A6EBD0} => pcalua.exe -a "C:\Program Files\Real\RealPlayer\Update\r1puninst.exe" -c RealNetworks|RealPlayer|15.0 Task: {82140FDC-2890-4570-A7D4-EE6F5D61427E} - System32\Tasks\{B3DBDB4C-1236-4C7D-9FDB-428B5F70A9F5} => pcalua.exe -a C:\Users\pawelix\Desktop\PI\Xming-6-9-0-31-setup.exe -d C:\Users\pawelix\Desktop\PI Task: {D846CFDB-E3BC-49F4-B138-14724BF797BE} - System32\Tasks\{12632EE4-CD25-49D0-BDC6-81E253008BB7} => pcalua.exe -a C:\Windows\system32\spool\drivers\w32x86\3\LXBLUN5C.EXE -c -dLexmark Z700-P700 Series S3 catchme; \??\C:\Users\pawelix\AppData\Local\Temp\catchme.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gabedit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\PC-Optimizer C:\ProgramData\F-Secure C:\Users\pawelix\AppData\Local\F-Secure C:\Users\pawelix\AppData\Local\Google C:\Users\pawelix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2e9b73709efe5cec\MATLAB R2011a.lnk C:\Users\pawelix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\openfm.lnk C:\Users\pawelix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OriginLab C:\Users\pawelix\Documents\OpenFM.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\pawelix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Cóż, w logu jest szkodliwy ukraiński DNS i to jest DNS pobierany z routera... FRST pokazuje aż dwa ustawienia to poświadczające, wyciąg z rejestru (pierwszy wpis) oraz wyciąg typu ipconfig nie z rejestru (drugi wpis): Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 DNS Servers: 195.238.181.164 - 8.8.8.8 To jedyna rzecz w Twoich raportach, która może się wiązać ze zgłoszonymi przekierowaniami. Poza tym DNS brak innych oznak infekcji. Mówimy o tym samym routerze TP-Link TD-W8901G co w poprzednim temacie, czyli który miał już zaktualizowane firmware? Czy ten router to jedyne urządzenie w Twojej sieci? Czy po ustawieniu routera Windows był resetowany (wtedy się aktualizują ustawienia DNS)?

Zestaw logów FRST niekompletny - urwany niepełny Addition oraz brak pliku Shortcut. Nie został dostarczony także GMER. W systemie jest zainstalowane adware. W związku z tym, że log Addition nie jest cały, usuwanie może być niepełne w pierwszym podejściu. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware: Photoscape Packages, SimilarWeb, WebConnect 3.0.0. - Stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64; system32\drivers\{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64.sys [X] S1 {78621d41-c71d-4d6b-a4da-c1af0f310e3e}w64; system32\drivers\{78621d41-c71d-4d6b-a4da-c1af0f310e3e}w64.sys [X] S1 {951b00f5-f3a4-4dc9-9aac-412d27c14053}w64; system32\drivers\{951b00f5-f3a4-4dc9-9aac-412d27c14053}w64.sys [X] S1 {f365189d-3e18-4f01-8423-a1ed102ed962}w64; system32\drivers\{f365189d-3e18-4f01-8423-a1ed102ed962}w64.sys [X] S1 wStLibG64; system32\drivers\wStLibG64.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na URLSearchHook: HKLM-x32 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15} URLSearchHook: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15} SearchScopes: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> DefaultScope {6F8E6CC7-1F6F-4676-97DD-DAB73D235582} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=114 SearchScopes: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> {087ECAB1-8E74-4FAB-8609-2C4EEFCE2A7F} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=82C4339D-2C2B-4D4B-9D57-23ED298F03FC&apn_sauid=DE2BFF0C-66F3-42AD-B66D-679116BFA9C7 SearchScopes: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> {6F8E6CC7-1F6F-4676-97DD-DAB73D235582} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=114 BHO: No Name -> {4F524A2D-5637-4300-76A7-7A786E7484D7} -> No File BHO-x32: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File Toolbar: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\9770d137-0554-4a98-9776-1cfcef3857da C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Roaming\msnsvconfig.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Brak oznak infekcji. Możesz wykonać tylko kosmetykę: 1. Odinstaluj śmieciarski Dll-Files Fixer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ProxyServer: [s-1-5-21-526416496-3959838689-68540624-1001] => localhost:8080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-526416496-3959838689-68540624-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Task: {2BD435C8-7D5A-450B-A72A-9633B1A0950C} - \AdobeAAMUpdater-1.0-Emperor-Hajasz No Task File Task: {40D21CD2-3C50-44F2-97C5-43F83A67AEED} - \Driver Booster SkipUAC (Hajasz) No Task File C:\ProgramData\TEMP C:\Users\Hajasz\AppData\Local\70149b02515b3bb20dd492.47983420 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. przedstaw wynikowy fixlog.txt. Ogólne logi FRST nie są mi potrzebne ponownie.

Posty posklejałam dla porządku, oczywiście odpowiadasz mi już w nowych postach. Próbując rozwiązać problem stosowałaś program-naciągacz SpyHunter, z daleka od tego śmiecia. W Firefox są bardzo niepożądane obiekty Mozilla Firefox Hotfixer i Zoom It. Poza tym, widać pobrany crack KMSpico, przypuszczalnie z lewego źródła. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj SpyHunter. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [mbot_pl_187] => [X] HKLM-x32\...\Run: [gmsd_pl_82] => [X] Task: {41B2C015-0B6F-42B1-A388-521A7F90765E} - System32\Tasks\QOZPH => C:\Users\eN\AppData\Roaming\QOZPH.exe Task: {63D8D5E9-7310-4111-9FD7-85D341A53029} - System32\Tasks\GEHMI => C:\Users\eN\AppData\Roaming\GEHMI.exe Task: {BEED34FE-19CD-4A4F-99DD-A3BD03658302} - System32\Tasks\{BE57E910-AA33-492D-BA99-3277EEFA32E0} => pcalua.exe -a C:\Users\eN\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=face Task: C:\WINDOWS\Tasks\GEHMI.job => C:\Users\eN\AppData\Roaming\GEHMI.exe Task: C:\WINDOWS\Tasks\QOZPH.job => C:\Users\eN\AppData\Roaming\QOZPH.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1447782042-1724399618-3570055510-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files\KMSpico C:\Program Files (x86)\gmsd_pl_82 C:\Program Files (x86)\Google C:\Program Files (x86)\HQCinema Pro 2.1V02.04 C:\Program Files (x86)\KMSPico 10.0.6 C:\Program Files (x86)\Opera C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Temp C:\ProgramData\{98abf048-2aaa-2ea9-98ab-bf0482aac120} C:\ProgramData\{b5cbc006-3925-2e95-b5cb-bc0063920018} C:\ProgramData\{d5531d9d-869b-53f7-d553-31d9d8697676} C:\ProgramData\1161215232349302566 C:\ProgramData\Orbit C:\ProgramData\Spybot - Search & Destroy C:\Users\eN\AppData\Local\CrashRpt C:\Users\eN\AppData\Local\nsl5BA.tmp C:\Users\eN\AppData\Local\Temp-log.txt C:\Users\eN\AppData\Local\27032 C:\Users\eN\AppData\Local\Google C:\Users\eN\AppData\Local\Opera Software C:\Users\eN\AppData\Roaming\03AA02FC-1427994645-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\03AA02FC-1427995152-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\03AA02FC-1427996992-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\03AA02FC-1427997314-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\cpuminer C:\Users\eN\AppData\Roaming\InstallShield C:\Users\eN\AppData\Roaming\Opera Software C:\Users\eN\AppData\Roaming\GEHMI C:\Users\eN\AppData\Roaming\QOZPH C:\Users\eN\Downloads\KMSpico-v9.2.3-Final-Activator-For-Windows-and-Office-Full.7z C:\Users\eN\Downloads\KMSpico v9.2.3 Final Activator For Windows and Office Full C:\Users\eN\Downloads\SpyHunter 4.1.11.0 + Crack C:\WINDOWS\SECOH-QAD.dll C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\system32\VCLOff.ini C:\WINDOWS\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf C:\WINDOWS\System32\Tasks\Safer-Networking C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\SysWOW64\VCLOff.ini Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal notujesz problemy.

W raportach brak jawnych oznak infekcji, ale: Problem pewnie tworzy któreś rozszerzenie, które zainstalowałeś celowo w dobrej wierze. Obecnie jest dużo rozszerzeń Google Chrome i Firefox (nawet oficjalnie hostowanych w Google Chrome Web Store czy Mozilla Add-ons), których autorzy szmuglują bardzo niepożądany skrypt injekcyjny (np. Superfish) lub inne niepożądane dodatki. U Ciebie widać zainstalowane następujące rozszerzenia Google Chrome: Chrome: ======= CHR Extension: (Google Translate) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2015-02-17] CHR Extension: (Google Slides) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-16] CHR Extension: (Google Docs) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-16] CHR Extension: (Google Drive) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-02-16] CHR Extension: (Please enter your password) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bfbmjmiodbnnpllbbbfblcplfjjepjdn [2015-02-17] CHR Extension: (WOT) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bhmmomiinigofkjcapegjjndpbikblnp [2015-02-17] CHR Extension: (YouTube) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-02-16] CHR Extension: (TV) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bppbpeijolfcampacpljolaegibfhjph [2015-02-17] CHR Extension: (Google Search) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-02-16] CHR Extension: (Video Downloader professional) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\elicpjhcidhpjomhibiffojpinpmmpil [2015-02-17] CHR Extension: (Google Sheets) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-16] CHR Extension: (AdBlock) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-02-17] CHR Extension: (QuickTime for Chrome) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\glkdifongmamddfegpjkmghbmoikkjai [2015-02-17] CHR Extension: (Youtube-to-MP3) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\jekmfmemcfggilfpgplgjbfaijgchhfc [2015-02-17] CHR Extension: (Movie Downloader Professional) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\kmbapgnhedgedkgomjjdlkonfadkpole [2015-02-17] CHR Extension: (Auto HD For YouTube™) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\koiaokdomkpjdgniimnkhgbilbjgpeak [2015-02-17] CHR Extension: (FVD Video Downloader) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\lfmhcpmkbdkbgbmkjoiopeeegenkdikp [2015-02-17] CHR Extension: (SPOI Options) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\medeknkggnkeffoahbphecmjoakbpiab [2015-02-17] CHR Extension: (Video download helper) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\mnkioblodjcgkdailhejgcocjkkoochj [2015-02-17] CHR Extension: (Google Wallet) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-16] CHR Extension: (Gmail) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-02-16] Odrzucając firmowe Google oraz zaufane (AdBlock, WOT), podejrzane rozszerzenia to: 1. QuickTime for Chrome - To nie jest oficjalna wtyczka QuickTime. Tutaj raporty, że rozszerzenie otwiera niepożądane adresy: KLIK. 2. FVD Video Downloader - Nie jest wykluczone, że uruchamia skrypt adware Superfish. W Firefox również masz rozszerzenie tej samej firmy, znane z posiadania niepożądanych dodatków oraz wstawiania skryptu Superfish: KLIK, KLIK, KLIK. FF Extension: Flash Video Downloader - YouTube HD Download [4K] - C:\Documents and Settings\Dell-2012\Dane aplikacji\Mozilla\Firefox\Profiles\3xiybotp.default\Extensions\artur.dubovoy@gmail.com [2015-02-16] Nie miałam czasu dokładnie przejrzeć rozszerzeń Opery. To inny problem i wątpliwe, by to było związane z infekcją. Takie automatyczne przeładowanie ikon oznacza błąd procesu explorer.exe, a czynniki mogące to powodować to np. wadliwe rozszerzenia powłoki czy kodeki. Wstępnie: 1. W Google Chrome: - Zresetuj synchronizację (o ile włączona): KLIK. - Ustawienia > karta Rozszerzenia > odinstaluj QuickTime for Chrome, FVD Video Downloader. 2. W Firefox: odinstaluj rozszerzenie Flash Video Downloader - YouTube HD Download [4K]. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] U2 CertPropSvc; No ImagePath S3 cnnctfy2MP; system32\DRIVERS\cnnctfy2.sys [X] S3 NETwNx32; system32\DRIVERS\NETwNx32.sys [X] U4 vsserv; No ImagePath U1 WS2IFSL; No ImagePath Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\Documents and Settings\All Users\Dane aplikacji\cis13.exe HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] \WINDOWS\system32\userinit.exe, HKLM\...\Policies\Explorer\Run: [] => No File HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1957994488-1659004503-839522115-1003\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF Startup: C:\Documents and Settings\Dell-2012\Menu Start\Programy\Autostart\WinFlip.lnk HKU\S-1-5-21-1957994488-1659004503-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1957994488-1659004503-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Dell-2012\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Dell-2012\Menu Start\AVS Media C:\Documents and Settings\Dell-2012\Pulpit\Nieużywane skróty pulpitu\Tunatic.lnk C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\OperaMail /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji wymienionych rozszerzeń nadal występują problemy adware w przeglądarce (sprawdź po kolei Firefox, Google Chrome i Operę).

Logi z przestarzałego OTL już od dawna nie są obowiązkowe. Usuwam, zostawiam tylko ten z ręcznym DIR urządzeń. W systemie nie widać owej infekcji, ale jest adware. Natomiast urządzenie USB musi być czyszczone z osobna. Do wdrożenia akcje: 1. Przez Panel sterowania odinstaluj adware Search App by Ask oraz zbędny przestarzały Spybot - Search & Destroy. 2. Zakładam, że urządzenia nadal są mapowane pod literami F: i H:. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1D45D0BE-2883-4C50-990D-0C39AE60E62E} - System32\Tasks\{C4AE425C-3376-4E02-B716-F42DDFDBF2E3} => pcalua.exe -a C:\Users\JUZEK\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {AD564EB5-2784-4D5C-A683-5E982D004ACE} - System32\Tasks\{A946CA23-8AB5-43D7-BEA9-0F34049E2915} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" BootExecute: autocheck autochk * sdnclean64.exe HKU\S-1-5-21-3536290579-3074440210-3346147993-1000\...\Run: [ASRockOCTuner] => [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 cpuz137; \??\C:\Users\JUZEK\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141219 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141219 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1413540709&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF106905269052&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1413540709&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF106905269052&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1413540709&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF106905269052&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1413540709&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF106905269052&q={searchTerms} HKU\S-1-5-21-3536290579-3074440210-3346147993-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141219 BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1413113932&from=smt&uid=WDCXWD5000AAKS-00V1A0_WD-WMAWF106905269052 FF SearchPlugin: C:\Users\JUZEK\AppData\Roaming\Mozilla\Firefox\Profiles\wpguvr05.default\searchplugins\ask-search.xml [2015-03-31] C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ATITool C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Newerth C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\JUZEK\AppData\Roaming\BOBBU.exe C:\Users\JUZEK\AppData\Roaming\CXNAYXY.exe F:\*.lnk F:\autorun.inf F:\fuefue.exe F:\fuefue.scr H:\*.lnk H:\autorun.inf H:\fuefue.exe H:\fuefue.scr Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppsHat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoobzoYouTubeAccelerator" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\JUZEK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz log USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Temat przenoszę, na razie do działu Hardware, to wszystko to nie są problemy infekcji. W pierwszej kolejności zajmij się problemem sprzętowym z RAM, który prawdopodobnie uniemożliwia start Windows. System errors: ============= Error: (03/15/2015 01:37:25 PM) (Source: Microsoft-Windows-MemoryDiagnostics-Results) (EventID: 1202) (User: ZARZĄDZANIE NT) Description: Narzędzie Diagnostyka pamięci systemu Windows przetestowało pamięć komputera i wykryło błędy sprzętowe. Aby zidentyfikować i rozwiązać te problemy, skontaktuj się z producentem komputera. Reszta to problemy podrzędne, nie związane z RAM. 1. Brak sieci: w raporcie FRST dane z Menedżera urządzeń sugerujące reinstalację / aktualizację sterowników, ale jest więcej zdefektowanych urządzeń (i nie wykluczone filtry sprzętowe): ==================== Faulty Device Manager Devices ============= Name: Port komunikacyjny (COM1) Description: Port komunikacyjny Class Guid: {4d36e978-e325-11ce-bfc1-08002be10318} Manufacturer: (Standardowe typy portów) Service: Serial Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Port komunikacyjny (COM2) Description: Port komunikacyjny Class Guid: {4d36e978-e325-11ce-bfc1-08002be10318} Manufacturer: (Standardowe typy portów) Service: Serial Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Realtek PCIe GBE Family Controller #2 Description: Realtek PCIe GBE Family Controller Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Realtek Service: RTL8167 Problem: : This device is not working properly because Windows cannot load the drivers required for this device. (Code 31) Resolution: Update the driver Name: Standardowa klawiatura PS/2 Description: Standardowa klawiatura PS/2 Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: i8042prt Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. 2. Są tu owszem adware ale bardzo stare oraz różne puste wpisy. To nie ma żadnego związku z powyższymi defektami i ewentualne czyszczenie tego na szarym końcu. Skoro jest tu główny problem sprzętowy, a system bardzo nieświeży i z innymi usterkami, to czy nie byłoby lepiej postawić Windows na nowo? Oczywiście po rozwiązaniu problemu RAM.

Brak trzeciego obowiązkowego raportu FRST Shortcut. Logi proszę umieszczaj jako załączniki forum, a nie na serwisach wklejkowych. Był używany ComboFix i na ten temat: KLIK. Problem tytułowy tworzą obiekty w Harmonogramie zadań wstawione przez adware/PUP. Ale jest więcej śmieci. Do wykonania: 1. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj adware Download Energy Toolbar, firmowy zbędnik AVG Web TuneUp oraz stare wersje Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 7 Update 9. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\SMupdate1.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, maroyapf.dll R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55232 2014-03-25] (StdLib) S2 287; \??\C:\DOCUME~1\trach\USTAWI~1\Temp\287.sys [X] S3 APL531; System32\Drivers\ov550i.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 cdrbsvsd; No ImagePath S3 MEMSWEEP2; \??\C:\WINDOWS\system32\1A6.tmp [X] S3 rtl8139; System32\DRIVERS\RTL8139.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-725345543-1935655697-2147238677-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKU\S-1-5-21-725345543-1935655697-2147238677-1003\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={82687A99-0CAB-4C23-9560-576590F16A17}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215av&pr=fr&d=2015-03-17 17:15:54&v=4.1.0.411&pid=wtu&sg=&sap=hp HKU\S-1-5-21-725345543-1935655697-2147238677-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch\ HKU\S-1-5-21-725345543-1935655697-2147238677-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://newtab.certified-toolbar.com/nie?si=33953&tid=2958&new=true" SearchScopes: HKLM -> URL http://search.certified-toolbar.com?si=33953&bs=true&tid=2958&q={searchTerms} SearchScopes: HKLM -> SuggestionsURL_JSON http://api.widdit.com/suggestions/?format=ffplugin&ua=ie&src=addon&si=33953&gid=1&dbCode=1&command={searchTerms} SearchScopes: HKLM -> TopResultURLFallback http://search.certified-toolbar.com?si=33953&bs=true&tid=2958&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=147&systemid=414&v=n9195-110&apn_uid=4455077670254040&apn_dtid=BND414&o=APN10649&apn_ptnrs=AGA&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=AE5CA8D4-158B-4A14-8EF7-0D1338AA400D&apn_sauid=E4B3D8DA-0ADB-4A4F-BAD2-6A63080B4EA7 SearchScopes: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> {5C087521-AB10-4F11-A891-C0C3735FC78A} URL = http://search.certified-toolbar.com?si=33953&bs=true&tid=2958&q={searchTerms} SearchScopes: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> {5E7525C5-FCD6-4669-A169-A3FA56DAE46E} URL = http://tuvaro.com/ws/?source=cbc644dd&tbp=rbox&toolbarid=base&u=08c594f70000000000000019219863f2&q={searchTerms} SearchScopes: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={82687A99-0CAB-4C23-9560-576590F16A17}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215av&pr=fr&d=2015-03-17 17:15:54&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=147&systemid=414&v=n9195-110&apn_uid=4455077670254040&apn_dtid=BND414&o=APN10649&apn_ptnrs=AGA&q={searchTerms} SearchScopes: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms} Toolbar: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> No Name - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File Toolbar: HKU\S-1-5-21-725345543-1935655697-2147238677-1003 -> No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml [2013-09-19] FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\wtu-secure-search.xml [2015-03-17] C:\Documents and Settings\All Users\Dane aplikacji\13576664041698008291 C:\Documents and Settings\All Users\Dane aplikacji\Informer Technologies, Inc C:\Documents and Settings\trach\Dane aplikacji\Smiley.ico C:\Documents and Settings\trach\Dane aplikacji\ViewerApp.dat C:\Documents and Settings\trach\Dane aplikacji\VMIWHUR C:\Documents and Settings\trach\Dane aplikacji\ZAODEUB C:\Documents and Settings\trach\Dane aplikacji\FFFFFFFF-1425675836-FFFF-FFFF-FFFFFFFFFFFF C:\Documents and Settings\trach\Dane aplikacji\Software Informer C:\Documents and Settings\trach\Ustawienia lokalne\Dane aplikacji\CrashRpt C:\Documents and Settings\trach\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\trach\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\trach\Ustawienia lokalne\Dane aplikacji\mybestofferstoday C:\Documents and Settings\Default User\Dane aplikacji\TuneUp Software C:\Program Files\IE7-WindowsXP-x86-plk.exe C:\Program Files\OrbitDownloaderSetup.exe C:\Program Files\globalUpdate C:\Program Files\MiniGet C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\FE2E992B-4C49-B989-8262-34CA2520B8E3.lnkCommon Startup C:\WINDOWS\pss\Download.lnkStartup C:\WINDOWS\System32\drivers\tStLibG.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^FE2E992B-4C49-B989-8262-34CA2520B8E3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^trach^Menu Start^Programy^Autostart^Download.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by pozyskać brakujący log. Dołącz też plik fixlog.txt.

Jawnych oznak infekcji nie widzę w raportach. Za to widać: martwe WMI, blokadę Przywracania systemu na bazie polityk oraz inne polityki ograniczające używanie określonych funkcji, uszkodzone zadania Harmonogramu, kilka niesygnowanych plików Microsoftu (explorer.exe, themeservice.dll i user32.dll) oraz włączony Tryb testu umożliwiający ładowanie niepodpisanych cyfrowo sterowników. To wszystko to zapewne wynik posiadania pirackiego mocno zmodyfikowanego systemu: Platform: Windows JG Seven Service Pack 1 (X86) OS Language: Polski (Polska) Problem z takimi przeróbkami polega na tym, że jak coś się psuje lub niedobrego dzieje, trudniej dojść o co chodzi, bo Windows znacznie odbiega od oryginału i trzeba wykonać "inżynierię wsteczną" co namieszał autor płyty. Jeśli chodzi o to co znalazł MBAM: - Malware.Trace zdaje się być fałszywym alarmem na polityce pochodzącej z przerobionego systemu. - Backdoor.Bot kierujący na folder C:\ProgramData\Nimoru jest dla mnie niewiadomą, na wszelki wypadek usuń. - Heuristics.Reserved.Word.Exploit owszem wygląda na infekcję. Usuń ten plik. - Jeśli chodzi o dwa procesy explorer.exe, ta wielokrotność może być normalnym zjawiskiem. Czy w Opcje folderów i wyszukiwania > Widok > Uruchom okna folderów w osobnych procesach jest zaznaczone? - Jeśli chodzi o niezamykalny chrome.exe, to podaj adres tej strony "nulled", bo nie wiem o co chodzi.

Prosiłam Cię o pokazanie jaki skrypt FRST był uruchamiany wcześniej - dostarcz zarchiwizowany plik C:\FRST\Logs\Fixlog_Data_Czas.txt odpowiadający dacie Twoich akcji. Natomiast jeśli chodzi o problem adware, to dostarczone tu nowe logi FRST są kompletnie odmienne niż poprzednio, system wygląda jeszcze gorzej niż poprzednio, teraz kupa adware widoczna: WindowsMangerProtect, Omniboxes oraz niepożądane rozszerzenia w Firefox. W Firefox multum złych rozszerzeń: Fast Start i Search Enginer zainstalowane w pakiecie hijackera Omniboxes, Abduction! serwujące reklamy (KLIK), martwy SkipScreen który także miał integracje niepożądanych modyfikatorów wyszukiwania (KLIK) oraz wielokrotne wystąpienia Zoom It mające unikatowe ID i wyglądające trochę jak trojan Medfos. Zawartość profilu Firefox jest tak odmienna niż poprzednio widać to było w logu, że mi to wygląda jak ręczne odtworzenie poprzedniej zawartości zresetowanego profilu Firefox z jakiejś kopii zapasowej... Będziemy resetować Firefox ponownie i już nie próbuj instalować niektórych rozszerzeń, ani nie importuj żadnych "backupów" (o ile kiedyś je zrobiłeś). Akcja: 1. Odinstaluj świeżo dodany YTD Video Downloader 4.8.9 (ma adware w instalatorze) oraz starsze wersje Adobe Flash Player 16 ActiveX, Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-04-06] (SysTool PasSame LIMITED) HKLM-x32\...\Run: [mbot_pl_188] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.omniboxes.com/?type=hp&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.omniboxes.com/?type=hp&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.omniboxes.com/?type=hp&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.omniboxes.com/?type=hp&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} HKU\S-1-5-21-3319347464-3358414498-3101519014-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.omniboxes.com/?type=hp&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z HKU\S-1-5-21-3319347464-3358414498-3101519014-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.omniboxes.com/?type=hp&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.omniboxes.com/web/?type=ds&ts=1428315245&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-3319347464-3358414498-3101519014-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&ts=1428315377&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3319347464-3358414498-3101519014-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&ts=1428315377&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3319347464-3358414498-3101519014-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&ts=1428315377&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3319347464-3358414498-3101519014-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&ts=1428315377&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3319347464-3358414498-3101519014-1000 -> {B30E815F-6221-4211-8477-C1172040718D} URL = http://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&ts=1428315377&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3319347464-3358414498-3101519014-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.omniboxes.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z&ts=1428315377&type=default&q={searchTerms} Toolbar: HKU\S-1-5-21-3319347464-3358414498-3101519014-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.luckysearches.com/?type=sc&ts=1428314478&from=amt&uid=ST3160815AS_9RA28H6ZXXXX9RA28H6Z FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\2vacih9u.default-1427913404045\extensions\searchengine@gmail.com FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\2vacih9u.default-1427913404045\extensions\istart_ffnt@gmail.com FF HKLM-x32\...\Firefox\Extensions: [fe_7.0@nokia.com] - C:\Program Files (x86)\Nokia\Nokia Suite\Connectors\Bookmarks Connector\FirefoxExtension_7.0 CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [Not Found] C:\Program Files (x86)\predm C:\ProgramData\IHProtectUpDate C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Isle C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bridge Builder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KeyTweak C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MonkeyDragon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nokia PC Suite\Odinstaluj pakiet Nokia PC Suite.lnk C:\Users\Bambamdilla\AppData\Local\Microsoft\Windows\GameExplorer\{CB007F21-7C49-44F7-AD74-AB84A4575749} C:\Users\Bambamdilla\AppData\Local\Opera Software C:\Users\Bambamdilla\AppData\Roaming\Opera Software C:\Users\Bambamdilla\AppData\Roaming\Microsoft\Word\PRACA%20MAGISTERSKA304361013641477170\PRACA%20MAGISTERSKA.docx.lnk C:\Windows\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf C:\Windows\patsearch.bin C:\Windows\SysWOW64\*.tmp Folder: C:\Program Files (x86)\Mozilla Firefox EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść ponownie Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. To usunie wszystkie rozszerzenia. Przypominam: po resecie nie wolno zaimportować żadnych starych "backupów". 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bambamdilla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy.

Te wyniki MBAM do usunięcia. Czy na pewno był to skan pełny a nie ekspresowy? Dzieje się tak dlatego, że FRST czyszcząc Historię Firefox usuwa plik places.sqlite, który trzyma w odrębnych tabelach Bookmarki, favikony Bookmarków oraz Historię: KLIK. Jakiś czas temu już zgłosiłam autorowi, że FRST nie powinien usuwać tego pliku, bo usuwa nie tylko ikony zakładek ale i zakładki właściwe, tylko że usterka nie jest notowana, bo Firefox po cichu odbudowuje szkodę z folderu Bookmarks backups. Favikony Firefoxa odbudujesz masowo za pomocą FavIcon Reloader.

Proszę trzymaj się wytycznych tworzenia raportu FRST w przyklejonym - sekcja "Drivers MD5" nie miała być zaznaczona. W raportach nie ma oznak infekcji "policyjnej", więc jeśli to nadal występuje, to albo jest zainfekowany router (choć w raporcie FRST brak jawnych oznak, widać adres routera 192.168.1.1), albo któreś cache (przeglądarki lub bufor DNS). Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns HKU\S-1-5-21-57989841-688789844-1417001333-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1416859652&from=exp&uid=MAXTORXSTM3160215AS_6RAA0BSYXXXX6RAA0BSY&q={searchTerms} DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://go.microsoft.com/fwlink/?linkid=39204 CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-03-28] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zainstaluj IE8: KLIK. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat posprzątałam. jessika Na przyszłość: andrjewek Wprawdzie SpyHunter i YAC należało usunąć, bo to oszuści (KLIK / KLIK), ale problem z ładowaniem stron nie był z ich winy. Problem tworzyła polityka IPSEC limitująca dostęp sieciowy, wprowadzona kiedyś przez malware: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{11aac89e-b2d9-4b81-bbed-d6f784098f3a} I tu nie koniec akcji, nadal jest czym się zajmować. Zmodyfikowany plik HOSTS, szczątki adware, adware Widget Context (zainstalowane globalnie dla wszystkich profilów Firefox) oraz trojan Medfos w Firefox (tworzy obiekty imitujące inne poprawne komponenty = tu jest "Windows Photo Viewer Gallery Interface", zawsze unikatowe ID): FF Extension: Widget context - C:\Users\Andrew\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\{140A2D0E-85CC-4ed3-9BA5-8FA35DA7FABA}.xpi [2014-01-05] FF Extension: Windows Photo Viewer Gallery Interface - C:\Users\Andrew\AppData\Roaming\Mozilla\Firefox\Profiles\558swsb8.default\Extensions\{32445A98-A277-3F17-FFFD-D710F5C374A8} [2015-02-04] Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje i zbędnik: Adobe Flash Player 16 NPAPI, Java 7 Update 65, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Hosts: Task: {029BAF9C-AD1F-43B9-9279-3499355D612B} - System32\Tasks\{5B5A4F5F-7016-4FCF-9C92-E95636293DF0} => pcalua.exe -a F:\Autorun.exe -d F:\ Task: {90E1E1FE-CAE9-47E2-BF7A-5FD3659AF90B} - System32\Tasks\{EDA591DD-9695-4926-9AC4-A0488995424A} => pcalua.exe -a C:\Users\Andrew\AppData\Local\Akamai\uninstall.exe Task: {E01FFE03-9511-4F86-A553-56D5EF10E44F} - System32\Tasks\{75316A84-DB02-425C-A77D-838B01677EC9} => pcalua.exe -a C:\Users\Andrew\Downloads\dead.island.10.trainer_cw_downloader_14691_gry.exe -d C:\Users\Andrew\Downloads CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2013-10-17] (Microsoft Corporation) C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Alternate C:\ProgramData\Temp C:\Users\Andrew\AppData\Local\Alternate C:\Users\Andrew\AppData\Local\D0D66880-1428247545-11E2-B2A5-317CD4B82100 C:\Users\Andrew\AppData\Local\WorldofTanks C:\Users\Andrew\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\Andrew\Desktop\wszystko\DAEMON Tools Lite.lnk C:\Users\Andrew\Desktop\wszystko\Mz RAM Booster.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\WINDOWS\system32\VCLOff.ini C:\WINDOWS\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf C:\WINDOWS\system32\log C:\WINDOWS\SysWOW64\VCLOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt orz logi z folderu C:\AdwCleaner (nie uruchamiaj go ponownie, chodzi o poprzednie raporty).

W Google Chrome jest adware SourceApp (prawdopodobnie też drugie niewidoczne w raporcie), ale to nie jedyny problem w tej przeglądarce. Adware przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej i wymagana reinstalacja od zera. Akcje do przeprowadzenia: 1. W Google Chrome zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj jeszcze Google Chrome, to zrobisz na końcu, gdy dam sygnał. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Worms Armageddon 3.7.0.0 [WinXP-7-8] [cd version].lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S1 CSN5PDTS82; System32\Drivers\CSN5PDTS82.sys [X] S1 CSN5PDTS82x64; System32\Drivers\CSN5PDTS82x64.sys [X] C:\ProgramData\{c6a70dd7-bc59-aa1c-c6a7-70dd7bc5375e} C:\ProgramData\15227642091045121029 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Program Files (x86)\Google C:\Program Files (x86)\Image Hover C:\Program Files (x86)\LighterGeneration C:\Users\eafae\AppData\Local\Google C:\Users\eafae\AppData\Roaming\appdataFr3.bin C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Windows\system32\bdsandboxuiskin32.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Narzędzie Lenovo służy do usuwania specjalnej wersji Superfish, tzn. programu Superfish VisualDiscovery preintegrowanego na laptopach Lenovo. Tu nie ma żadnych śladów, byśmy mieli do czynienia z Lenovo i tym produktem. Superfish występuje w wielu wersjach, w tym jako skrypt zintegrowany w określonych rozszerzeniach Google Chrome czy Firefox (nawet takich które wyglądają "mało podejrzanie" i których nikt by nie podejrzewał). Narzędzie Lenovo nie usunie tego wariantu. Skoro problem tyczy tylko przeglądarki Google Chrome, podejrzane są rozszerzenia. Jedyne rozszerzenie, które nie jest fabryczne, to Adblock Super i tu oto jest informacja, że rozszerzenie instaluje skrypt Superfish: KLIK. Chrome: ======= CHR Profile: C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Google Slides) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-11-19] CHR Extension: (Google Docs) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-11-19] CHR Extension: (Google Drive) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-11-19] CHR Extension: (YouTube) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-11-19] CHR Extension: (Google Search) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-11-19] CHR Extension: (Google Sheets) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-11-19] CHR Extension: (Adblock Super) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\knebimhcckndhiglamoabbnifdkijidd [2014-11-19] CHR Extension: (Google Maps) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\lneaknkopdijkpnocmklfnjbeapigfbh [2014-11-25] CHR Extension: (Google Wallet) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-11-19] CHR Extension: (Gmail) - C:\Users\xxxxxxxxxxxxxxxxx\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-11-19] Przeprowadź następujące akcje: 1. W Google Chrome Ustawienia > karta Rozszerzenia > odinstaluj Adblock Super. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 sbapifs; system32\DRIVERS\sbapifs.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2840047447-2322949134-2623032500-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2840047447-2322949134-2623032500-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2840047447-2322949134-2623032500-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2840047447-2322949134-2623032500-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear HKU\S-1-5-21-2840047447-2322949134-2623032500-1001\Software\Classes\.exe: => HKU\S-1-5-21-2840047447-2322949134-2623032500-1001\Software\Classes\exefile: C:\ProgramData\mntemp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Wszystko zrobione. Kończymy: 1. Usuń FRST z folderu C:\Users\me\Downloads\Nowy folder. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Logi z OTL już od dawna nie są obowiązkowe (usuwam), brakuje za to trzeciego pliku FRST Shortcut. Jest zainstalowane adware ClickCaption działające ogólnie, dodatkowo w Google Chrome siedzi adware Dynamo Combo. Akcje do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj adware Click Caption 1.10.0.5 oraz zbędnik Akamai NetSession Interface. Nie używaj Revo do procesu deinstalacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-682003330-1364589140-2147183463-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} HKU\S-1-5-21-682003330-1364589140-2147183463-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-682003330-1364589140-2147183463-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CustomCLSID: HKU\S-1-5-21-682003330-1364589140-2147183463-1003_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\Ania i Darek\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-682003330-1364589140-2147183463-1003_Classes\CLSID\{E69341A3-E6D2-4175-B60C-C9D3D6FA40F6}\localserver32 -> C:\Documents and Settings\Ania i Darek\Dane aplikacji\Dropbox\bin\Dropbox.exe /wiacallback No File HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-682003330-1364589140-2147183463-1003\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run HKU\S-1-5-21-682003330-1364589140-2147183463-1003\...\Run: [AVG-Secure-Search-Update_0214c] => C:\Documents and Settings\Ania i Darek\Dane aplikacji\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=ed37027aac1f47d3a1edd16a129e63c8-4b75d736ac5390ef2f306851ebe287000e58fe46 /CMPI (the data entry has 7 more characters). HKU\S-1-5-21-682003330-1364589140-2147183463-1003\...\Run: [Akamai NetSession Interface] => C:\Documents and Settings\Ania i Darek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) S3 cpuz130; \??\C:\DOCUME~1\ANIAID~1\USTAWI~1\Temp\cpuz130\cpuz_x32.sys [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] AV: AVG update module (Enabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} FW: AVG update module (Disabled) {17DDD097-36FF-435F-9E1B-52D74245D6BF} C:\Documents and Settings\Ania i Darek\Dane aplikacji\Mozilla C:\Documents and Settings\Ania i Darek\Dane aplikacji\Opera Software C:\Documents and Settings\Ania i Darek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Ania i Darek\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

rafal19 W logu FRST masz informację, że reset Firefox był już wykonywany: 2015-04-01 20:36 - 2015-04-01 20:36 - 00000000 ____D () C:\Users\Bambamdilla\Desktop\Stare dane programu Firefox Bambamdilla Czy objawy wstępują też w Internet Explorer? Brak jawnych oznak infekcji w Firefox, choć po Twoim poście pokazującym kolorowy hiperlink utworzony przez adware owszem widać, że ona jest czynna. Proszę opisz dokładnie co robiłeś wcześniej, a jeśli pomoc była na innym forum, podaj link do tematu. Był tu uruchamiany skrypt do FRST świadczący o uruchamianu jakiegoś czyszczenia: ==================== Restore Points ========================= 01-04-2015 22:34:33 Restore Point Created by FRST