picasso

Adware zostało nabyte prawdopodobnie z któregoś portalu: KLIK. Jest tu jeszcze co usuwać - szkodliwy immunizer WindowsMangerProtect i masowe przekierowania do-search.com. Ponadto, system może mulić nie tylko ze względu na aktywność WindowsMangerProtect - tu jest niepoprawnie odinstalowany pakiet Kaspersky - liczne sterowniki czynne. Akcje do przeprowadzenia: 1. Przejdź w Tryb awaryjny Windows. Zastosuj specjalistyczny usuwacz Kaspersky Remover. 2. Opuść Tryb awaryjny. Poprzez Panel sterowania (a nie IOBit Uninstaller) odinstaluj: Adobe AIR, Adobe Flash Player 11 ActiveX, Java 7 Update 60, Java 8 Update 25, Java SE Development Kit 7 Update 15, MyFreeCodec, Smart File Advisor 1.1.1, UsbFix By TeamXscript. Smart File Advisor 1.1.1 to niepożądany program, reszta stare wersje. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-12] (SysTool PasSame LIMITED) S1 MpKsle7f29d17; \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{E0744095-0A5E-44E9-9BCF-BFA1153B3893}\MpKsle7f29d17.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426188065&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426188065&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2664477281-1290234535-2196259844-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} HKU\S-1-5-21-2664477281-1290234535-2196259844-1003\Software\Microsoft\Internet Explorer\Main,Default_search_url = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=dspp&ts=1426188203&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {36222043-542C-49D1-8F69-702470B129EC} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {4E0E17DB-2615-4F76-AE25-BB25CD5BEC40} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2664477281-1290234535-2196259844-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090112FB8F00LLKUJUSAX&ts=1426188216&type=default&q={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\g4bs46q4.default-1406216111318\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\A\AppData\Roaming\Mozilla\Firefox\Profiles\g4bs46q4.default-1406216111318\extensions\fftoolbar2014@etech.com Task: {130A1754-A921-46FB-9621-D4F754F75237} - \GlaryInitialize 4 No Task File Task: {3B9FC579-A925-475A-B5BC-E3BEA67C97C0} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {8AB192D5-295D-4B6B-9B28-09FA0581B207} - System32\Tasks\{0168E345-B01C-4925-951F-907C95154A0D} => pcalua.exe -a "C:\Programy\mp4 to mp3\uninstall\uninstall.exe" -d "C:\Programy\mp4 to mp3\uninstall" Task: {DF30D9CD-51AC-4983-9564-C0996BEABC98} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: C:\Windows\Tasks\GlaryInitialize 4.job => C:\Programy\Optymalizacja\Glary Utilities 4\Initialize.exe C:\Program Files\Mozilla Firefox\plugins C:\Program Files\XTab C:\ProgramData\9EDE8056CF.sys C:\ProgramData\KGyGaAvL.sys C:\ProgramData\HidManager.dll C:\ProgramData\IHProtectUpDate C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\A\AppData\Local\Google\Chrome C:\Users\A\AppData\Local\FluxSoftware C:\Users\A\AppData\Local\PriceFountain C:\Users\A\AppData\Roaming\Helper Scripts C:\Users\A\AppData\Roaming\Hip Hop C:\Users\A\AppData\Roaming\Home C:\Users\A\AppData\Roaming\Sys6925.Config Collection.sys C:\Users\A\AppData\Roaming\Sys2662.Config.Repository.bin C:\Users\A\AppData\Roaming\UserTile.png C:\Users\Gość\Desktop\VueScan.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdvancedSystemCareService6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVGIDSAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Bonjour Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FacebookUpdate.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Mobile Device Center" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest jakaś poprawa w działaniu systemu.

Skasuj z dysku plik C:\Delfix.txt. To tyle. Załóż osobny temat tyczący drugiego komputera.

W takim razie na siłę dokasujmy elementy: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy widać na liście pozycję SpyHunter 4 > jeśli tak, podświetl i Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {293E420D-4B2E-4CDB-8A6A-0A00A887D1C9} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-03-02] (Enigma Software Group USA, LLC.) R2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1026432 2015-03-02] (Enigma Software Group USA, LLC.) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-03-02] () S2 0094501425373793mcinstcleanup; C:\Users\Joanna\AppData\Local\Temp\009450~1.EXE -cleanup -nolog [X] S3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] C:\sh4ldr C:\Program Files\Enigma Software Group C:\Program Files\Common Files\McAfee C:\Program Files (x86)\McAfee C:\ProgramData\Baidu C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\Users\Joanna\AppData\Roaming\Enigma Software Group C:\Users\Joanna\Start Menu\Programs\SpyHunter C:\Users\Public\Documents\Baidu C:\Users\Public\Pokki C:\WINDOWS\system32\Drivers\EsgScanner.sys C:\WINDOWS\system32\VisualDiscoveryOff.ini C:\WINDOWS\SysWOW64\VisualDiscovery.ini C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpyHunter /f Reg: reg query HKCU\Software Reg: reg query HKLM\SOFTWARE Reg: reg query HKLM\SOFTWARE\Wow6432Node EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie wszystko wykonało się - nadal są niepożądane ustawienia wprowadzone przez nieszczęsny WWDC. Poprawki: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Rpc\Internet Reg: reg add HKLM\SOFTWARE\Microsoft\Rpc /v "DCOM Protocols" /t REG_MULTI_SZ /d ncacn_ip_tcp /f Reg: reg query HKLM\SOFTWARE\Microsoft\Ole /s Reg: reg query HKLM\SOFTWARE\Microsoft\Rpc /s Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, by COMODO nie przeszkadzał. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. W ostatnim dostarczonym FRST brak oznak wykonania tego i to do zrobienia: 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potencjalne przyczyny: uszkodzony cały profil, albo uszkodzony / skasowany plik places.sqlite (w nim Firefox trzyma Bookmarki i Historię), blokada zapisu (np. pochodząca od COMODO Defense+). Jak mówię, dostarcz poprawne zrzuty ekranu to pokazujące, bo coś mi się wydaje, że następuje tu jakiś błąd interpretacji. Takie małe są, bo takie dostarczyłeś. Popatrz do czego linkujesz: hxxp://wstaw.org/m/2015/03/17/troj_png_300x300_q85.jpg hxxp://wstaw.org/m/2015/03/17/troj1_png_300x300_q85.jpg hxxp://wstaw.org/m/2015/03/12/cba_png_300x300_q85.jpg Pliki zuploadowałeś na serwis zewnętrzny i podałeś linki do miniatur utworzonych przez serwis wstaw.org, a nie obrazków oryginalnego rozmiaru. Tu nikt nie manipulował. Pokaż na zrzucie ekranu gdzie Ty to konkretnie sprawdzasz... Różne wyjaśnienia tego mogą być. Np. e-mail w ogóle nie doszedł, e-mail omyłkowo wylądował w folderze typu Spam lub COMODO Firewall zablokował odbiór. Podkreślam: nie ma tu oznak infekcji rodzaju który insynuujesz. Opisywane zjawiska mogą mieć całkiem inne uzasadnienie. Na razie to kilka problemów (problem z połączeniem sieciowym, błędy "Odmowa dostępu") dzwoni zbyt przedsiębiorczym COMODO Firewall i Defense+, aniżeli infekcją. I sugeruję od razu na próbę odinstalować ten program, by się przekonać które problemy nadal będą mieć miejsce.

Temat przenoszę do działu Vista, brak oznak czynnej infekcji. Dostarczony zestaw logów niekompletny, o czym prawi Rucek. Plik FRST Addition jest na dodatek urwany, a jest to kwestia miejsca skąd kopiowano pliki. Zaś nazwy podanych tu logów FRST wskazują, że zostały wyciągnięte z folderu C:\FRST\Logs - tam się nie grzebie, to archiwum logów. Bieżące logi FRST powstają zawsze tam skąd uruchamiano narzędzie, w tym przypadku jest to folder Pobrane. W Dzienniku zdarzeń widać następującą grupę błędów: 1. Notuję uszkodzoną usługę Instrumentacji zarządzania Windows, co odpowiada części błędów sekcji System. S2 Winmgmt; No ImagePath Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 2. Pod kątem błędów typu "moduł powodujący błąd mpengine.dll, ole32.dll, scecli.dll" wykonaj podstawowe sprawdzanie poprawności plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >C:\Users\r\Desktop\sfc.txt Na Pulpicie powstanie plik sfc.txt, dołącz go tutaj.

Temat przenoszę do działu Windows 7, brak oznak infekcji. vs. ==================== Faulty Device Manager Devices ============= Name: ASUS Touchpad Description: ASUS Touchpad Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318} Manufacturer: ASUS Service: i8042prt Problem: : This device cannot start. (Code10) Resolution: Device failed to start. Click "Update Driver" to update the drivers for this device. On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Name: Standardowa klawiatura PS/2 Description: Standardowa klawiatura PS/2 Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: i8042prt Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Przypuszczalnym powodem wszystkich awarii jest Avast. Jest tu komercyjny wariant Avast Internet Security, który wprowadza sterownik filtrujący klawiaturę, touchpad też może podlegać pod to działanie. Podobny temat z forum: KLIK. R1 aswKbd; C:\Windows\system32\drivers\aswKbd.sys [28144 2015-03-20] (Avast Software s.r.o.) Rozpocznij od: 1. Deinstalacje: - Poprzez Panel sterowania odinstaluj Avast, przy okazji także Akamai NetSession Interface (zbędny) oraz Oracle VM VirtualBox 4.3.22 (puste skróty wskazują na częściową deinstalację, bądź uszkodzenie Przywracaniem systemu). - Po deinstalacji Avast przejdź w Tryb awaryjny i zastosuj jeszcze Avast Uninstall Utility. 2. Modyfikacja filtrów klawiatury (usunięcie odwołania do aswKbd), przy okazji także usunięcie różnych wpisów pustych. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4d36e96f-e325-11ce-bfc1-08002be10318} /s Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f S3 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 pwdrvio; \??\C:\Windows\system32\pwdrvio.sys [X] S3 x64kdss; syswow64\Drivers\x64kdss.sys [X] S3 X6va021; \??\C:\Windows\SysWOW64\Drivers\X6va021 [X] S3 X6va022; \??\C:\Windows\SysWOW64\Drivers\X6va022 [X] S3 X6va025; \??\C:\Windows\SysWOW64\Drivers\X6va025 [X] S3 X6va027; \??\C:\Windows\SysWOW64\Drivers\X6va027 [X] S3 X6va028; \??\C:\Windows\SysWOW64\Drivers\X6va028 [X] S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM-x32\...\Run: [] => [X] CustomCLSID: HKU\S-1-5-21-2832837052-2721902705-4106856573-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File Task: {0EDE1C06-31C4-4F5F-A272-8339FFDA456F} - System32\Tasks\{112B7D02-E05B-4471-82ED-D92ED2D0B397} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {21D23775-B5AA-42A2-AF3A-BB37F8849436} - System32\Tasks\{3BC7364D-A7B3-42A3-A32C-7E1C930984F0} => pcalua.exe -a "C:\Users\user\Downloads\Talesrunner_SGP_20140715_v1664_1 (1).exe" -d C:\Users\user\Downloads Task: {248A0C64-302E-46DF-AB4D-527795A00569} - System32\Tasks\{58881454-063E-4341-AC7D-0C8ABB657801} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {78C48C76-5E18-4B26-9B01-B744337F10C6} - System32\Tasks\{F73FE386-757F-4400-9B33-08C7668E82D3} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {ACB91E86-0D76-4E87-83D4-64E2CFC54D03} - System32\Tasks\{1E678CB1-A557-421A-966D-10E69BCEC054} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {AFF6318B-7A8A-4983-8CFA-7EEAAB580D32} - System32\Tasks\{75D42FB4-34E7-40E5-A032-1C3D0C9C7FA8} => pcalua.exe -a C:\Users\user\Downloads\Talesrunner_SGP_20140715_v1664_1.exe -d C:\Users\user\Downloads Task: {F0AC117E-3037-4DB9-B4EB-F3F9D3A5947D} - System32\Tasks\{EB32D7A0-38EE-44D3-9729-D370A7812ACB} => C:\Games\The Binding of Isaac Rebirth\isaac-ng.exe Task: {FECFA357-6942-48A8-9DC9-9A98F3668471} - System32\Tasks\{3ED876F5-A430-4EFC-B1AB-BCA48B6A9296} => pcalua.exe -a "C:\Users\user\Downloads\Talesrunner_SGP_20140715_v1664_1 (4).exe" -d C:\Users\user\Downloads HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\GOG.com Downloader.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Treasure Adventure Game C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle VM VirtualBox C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Oracle VM VirtualBox.lnk C:\Users\user\Desktop\Rougelegacy\Rogue Legacy.lnk C:\Users\user\Desktop\skanery\Malwarebytes Anti-Malware.lnk C:\Users\user\Desktop\skanery\MiniTool Partition Wizard Home Edition.lnk C:\Users\user\Downloads\Niepotwierdzony*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Brakuje głównego raportu FRST.txt. Poza tym, w Twoim cytacie jest bardzo niepokojący znak, tzn. takie oto podkreślenie wskazujące na aktywne adware tworzące injekcje na przeglądanych stronach: Czy te "podkreślenia" występują tylko gdy korzystasz z Google Chrome?

Temat pod zmienionym tytułem przenoszę do działu Windows 7, być może dział Hardware się klaruje. 1. Zacznij od deinstalacji starej wersji avast! Free Antivirus 9.0.2021 i sprawdź czy przyśpieszy to system. Najnowsza to 2015.10.2.2214. 2. W Dzienniku zdarzeń błędy tego rodzaju: System errors: ============= Error: (03/20/2015 07:55:18 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 07:55:18 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Error: (03/20/2015 07:19:28 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 07:19:28 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Error: (03/20/2015 07:19:30 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 17:23:07 na ‎2015-‎03-‎20 było nieoczekiwane. Error: (03/20/2015 04:00:45 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 04:00:45 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Error: (03/20/2015 08:05:04 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesora Źródło błędu: 3 Typ błędu: 256 Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Error: (03/20/2015 08:04:46 AM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (03/20/2015 08:04:46 AM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Błędy ze źródłem atikmdag = prawdopodobnie należy zaktualizować sterowniki graficzne AMD. Natomiast "Wystąpił krytyczny błąd sprzętowy" = kierunek na analizę w dziale Hardware. PS. W spoilerze kosmetyka wpisów pustych, jest to bez znaczenia dla zgłaszanych problemów.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut oraz GMER. Temat przenoszę do działu Vista, nie ma żadnych oznak czynnej infekcji. Określ o co Ci w ogóle chodzi z owym "syfem" (jakim i gdzie) oraz do których błędów z Dziennika zdarzeń zmierzasz? W ostatnim zestawie błędów podanych w FRST Addition nie ma nic szczególnego, część błędów ma nikłe znaczenie (jest wynikiem niekompletnej deinstalacji MBAM, próbują się uruchamiać wybrakowane usługi), a żaden z nich nie ma powiązań z infekcją. PS. Usuń starocie oraz doczyść wpisy puste / szczątkowe. W spoilerze:

Jeśli chodzi o czyszczenie z adware, wszystko pomyślnie wykonane. Teraz: Uruchom AdwCleaner. Wybierz na razie tylko Szukaj (nie stosuj jeszcze Usuń) i zaprezentuj log z folderu C:\AdwCleaner. Statystyki RAM z pierwszego zestawu raportów: ==================== Memory info =========================== Processor: Intel® Core™ i3 CPU M 350 @ 2.27GHz Percentage of memory in use: 72% Total physical RAM: 1964.36 MB Available physical RAM: 542.45 MB Total Pagefile: 3928.71 MB Available Pagefile: 2024.2 MB Total Virtual: 8192 MB Available Virtual: 8191.81 MB W raportach nic nie rzuca się w oczy. Mógłyś jeszcze przewertować inne zintegrowane ASUSowe aplikacje i odinstalować to co zbędne. ==================== Installed Programs ====================== ASUS AP Bank (HKLM-x32\...\ASUS AP Bank_is1) (Version: 1.0.0.0 - ASUSTEK) ----> "sklep" / ofery trial, etc. ASUS CopyProtect (HKLM-x32\...\{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}) (Version: 1.0.0015 - ASUS) ----> zabezpieczenie przed nieautoryzowanym kopiowaniem danych ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.0.20 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}) (Version: 2.5.9 - ASUS) ----> autoaktualizacja sterowników / BIOS ASUS MultiFrame (HKLM-x32\...\{9D48531D-2135-49FC-BC29-ACCDA5396A76}) (Version: 1.0.0021 - ASUS) ----> system dzielenia okien ASUS Power4Gear Hybrid (HKLM\...\{91EFE3A1-585E-4F66-B5F6-F118F56C4C47}) (Version: 1.1.30 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0028 - ASUS) ----> asusowe "poprawianie" jakości obrazu Asystent rejestracji usługi Windows Live (HKLM-x32\...\{74CC5B4D-CBB5-46F1-82B0-3169977B1D36}) (Version: 5.000.818.6 - Microsoft Corporation) ControlDeck (HKLM-x32\...\{5B65EF64-1DFA-414A-8C94-7BB726158E21}) (Version: 1.0.5 - ASUS) CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.5 - ASUS) ----> menedżer startu Narzędzie do przekazywania usługi Windows Live (HKLM-x32\...\{205C6BDD-7B73-42DE-8505-9A093F35A238}) (Version: 14.0.8014.1029 - Microsoft Corporation) Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite_Wave3) (Version: 14.0.8050.1202 - Microsoft Corporation) Windows Live Sync (HKLM-x32\...\{C3335EFB-008F-44DB-A87A-9EC8EE53D045}) (Version: 14.0.8050.1202 - Microsoft Corporation) Oczywiście możesz to wgrać, ale nie powielaj funkcji. Albo Disconnect, albo Ghostery. Jeśli wybór panie na Ghostery, nie zaznaczaj udziału w GhostRank - to niepożądana funkcja wykluczająca się z zadaniem zasadniczym.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut. Problem tworzy adware LibraryProc startujące za pomocą usługi. Adware nabyte podczas pobierania "VirtualDJ Pro Build" z lewego źródła (zamiast docelowego instalatora, uruchamiał się "downloader" z adware). R2 a227ee20; c:\Program Files\LibraryProc\LibraryProc.dll [1975296 2015-03-18] () [File not signed] Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj adware Ads Remover, LibraryProc oraz potwornie stary Mozilla Firefox (3.5.4). Przy deinstalacji Firefox zaznacz usuwanie danych użytkownika. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Documents and Settings\Marcin\Menu Start\Programy\Autostart\VirtualDJ Pro Build 1995.815.lnk S3 gdrv; \??\C:\WINNT\gdrv.sys [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://pl.v9.com/idg/idg_1342389078_310092 CHR StartupUrls: Default -> "hxxp://www.google.com/", "hxxp://blekko.com/ws/?source=5f97ddbe&tbp=homepage&u=e0b0929a000000000000001f1f065675", "hxxp://websearch.simplespeedy.info/" HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} HKU\S-1-5-21-1547161642-1580436667-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} HKU\S-1-5-21-1547161642-1580436667-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423787126&from=cor&uid=ST380211AS_6PS0GQ2QXXXX6PS0GQ2Q&q={searchTerms} CustomCLSID: HKU\S-1-5-21-1547161642-1580436667-725345543-1003_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\EED8\temp\VirtualDJ Pro Build 1995.815.exe () C:\Documents and Settings\All Users\Dane aplikacji\{162d5d2d-5bb1-8cf8-162d-d5d2d5bb74b5} C:\Documents and Settings\All Users\Dane aplikacji\2261315843338188402 C:\Documents and Settings\All Users\Dane aplikacji\Ads Remover C:\Documents and Settings\All Users\Dane aplikacji\ffgglpimleafmdhciphmidiofldkkdkn C:\Documents and Settings\Marcin\Dane aplikacji\appdataFr3.bin C:\Documents and Settings\Marcin\Dane aplikacji\key-find C:\Program Files\LibraryProc C:\Program Files\Splashtop C:\Program Files\UniDeeals EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj IE8: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut i powstały trzy logi. Dołącz też plik fixlog.txt.

Moje pytanie o to co się dzieje po akcjach było raczej związane z tym, czy nadal notujesz problemy zgłoszone w pierwszym poście. Akcje wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Tadek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup.lnk SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=23157&r=2015/03/17&hid=487562181006891389&lg=EN&cc=PH&unqvl=85 SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3771866864-3196559225-104913496-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.coolsearches.info/?l=1&q={searchTerms}&pid=23157&r=2015/03/17&hid=487562181006891389&lg=EN&cc=PH&unqvl=85 FF HKLM-x32\...\Firefox\Extensions: [searchpredict@speedbit.com] - RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\{c92e26f0-d240-83e4-c92e-e26f0d249bc3} RemoveDirectory: C:\ProgramData\SpeedBit RemoveDirectory: C:\Users\Tadek\Desktop\Stare dane programu Firefox Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{W1S4PDR1-S045-4T8J-HVXG-2E4364P2J570}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Czy próbowałeś przeinstalować ponownie sterowniki graficzne NVIDIA? Jaka karta graficzna jest w systemie? Jeśli chodzi o czyszczenie z adware, poprzednie zadania wykonane i wszystko wygląda o niebo lepiej. Teraz już tylko poprawki natury bardziej kosmetycznej: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Opera C:\Users\kubos\AppData\Local\Opera Software C:\Users\kubos\AppData\LocalLow\Internet Speed Checker C:\Users\kubos\AppData\LocalLow\Temp C:\Users\kubos\AppData\Roaming\appdataFr3.bin C:\Users\kubos\AppData\Roaming\dlg C:\Users\kubos\AppData\Roaming\Easeware C:\Users\kubos\AppData\Roaming\GoldenGate C:\Users\kubos\AppData\Roaming\Opera Software CMD: for /d %f in (C:\Users\kubos\AppData\Local\*bron*) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj (na razie pomiń Usuń) i dostarcz log z folderu C:\AdwCleaner.

Sprawdź te instrukcje: KLIK. Poza tym, tak jak mówiłam NVIDIA GeForce Experience nie jest niezbędną instalacją i można w ogóle to w całości odinstalować, a aktualizacje sterowników sprawdzać ręcznie.

kondzior1989, prosiłam byś używał opcję Edytuj, jeśli nikt jeszcze nie odpisał, a chcesz coś poprawić. Znów napisałeś kilka postów pod rząd. Skleiłam. To nie jest Fixlog z moich zaleceń, to inny Fixlog sprzed kilku miesięcy (styczeń). W ogóle nie wykonałeś tego zadania. Powtarzaj punkty 2 do 4 z poprzedniej instrukcji. I na koniec masz dostarczyć dwa pliki FRST: FRST.txt oraz Addition.txt.

Wszystko zrobione. Możemy kończyć: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

NA KONCIE DAMIAN: Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3D0F43D9-C1D7-733C-01F8-4A3001BF8CC3} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{4d349a54} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. NA KONCIE DAWID: Zapomniałeś dostarczyć logi FRST.txt + Addition.txt. Zrób je już po wykonaniu operacji na koncie Damian. NA KONCIE ADRIAN: 1. Przez Panel sterowania odinstaluj adware Gameo, PennyBeeUpdate. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [DAEMON Tools Pro Agent] => "C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe" -autorun HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [Yahoo! Search] => C:\Users\adrian\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [PennyBee] => C:\Users\adrian\AppData\Local\PennyBee\PennyBeeW.exe HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [Gameo] => C:\Users\adrian\AppData\Roaming\Gameo\gameo.exe [42482176 2014-12-24] () HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\MountPoints2: {12ddc825-940c-11e4-bc60-0019666031da} - D:\AutoRun.exe /s HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> {4453A10C-0202-44FD-8208-B2597F3498EF} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&p2=^BED^OSJ000^YY^PL&gct=&itbv=12.18.0.81&apn_uid=EBC246C1-4F1E-43C9-9FF0-A37F0A56880A&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_38.0.2125.111&doi=2014-10-31&trgb=CR&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> {A5F0173E-B981-4C6F-BCD7-F12729D53CB1} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=9 SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" C:\Users\adrian\AppData\Local\Gameo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jeszcze należy doczyścić system ze śladów SurfVox. Decyduj co robić, bo jeśli w związku z poniższym defektem zdecydujesz się na nową instalację Windows 8.1, to czyszczenie tu obecnego nie ma sensu. To nie wygląda na powiązane z żadną infekcją. W Twoim systemie w ogóle brak Windows Defender, komponent całkowicie usunięty - brak usług, puste zadania Harmonogramu, pewnie brak folderów na dysku: ==================== Scheduled Tasks (whitelisted) ============= Task: {A2E6AF92-A27E-48C6-9213-2231E259B7DF} - \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance No Task File Task: {CC7E9366-CF26-4DC9-A66C-3EAB252649E1} - \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan No Task File Task: {E288921A-4336-4DEA-A1A6-6F3E6A856E5C} - \Microsoft\Windows\Windows Defender\Windows Defender Verification No Task File Task: {F67C3C3C-2EE9-498E-A0D8-AA09F8787FB1} - \Microsoft\Windows\Windows Defender\Windows Defender Cleanup No Task File W raportach widać ślady cracka KMSpico, co wskazuje że nie jest to legalny oryginalny Windows. W takim przypadku mogłaby być to wina płyty z której instalowałeś system (usunięty komponent). Podobny temat: KLIK.

Pokazane błędy nie pochodzą od infekcji: - Pierwszy błąd: instalator Adobe Flash nie może znaleźć biblioteki MSVCR110.dll należnej do Microsoft Visual C++ Redistributable 2012. Masz zainstalowaną 64-bitową wersję tych bibliotek, prawdopodobnie trzeba zainstalować jeszcze 32-bitową: KLIK. Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation) - Drugi błąd: generuje go skrót deinstalacyjny _uninst_69234417.lnk od usuniętego już narzędzia Kaspersky Removal Tool. Startup: C:\Users\Czarny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_69234417.lnk ShortcutTarget: _uninst_69234417.lnk -> C:\Users\Czarny\AppData\Local\Temp\_uninst_69234417.bat () Niemniej jest tu mnóstwo instalacji adware grupy "MultiPlug". Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: 50Coupoonss, AllSAvueR , Blipshot one click screenshots, DownSeave, GureeaTSaVe4U, JoniaCoupon, Justin Bieber, NetoCOupon, NoMore Ads, RobboSaver, ShoapDrropu, SSaveLots, Turntable fm Extended. - Starą wersję Adobe Flash Player 16 NPAPI oraz Google Chrome Canary (wersja bez blokady pod kątem adware). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 5965d732; c:\Program Files (x86)\ProcessProc\ProcessProc.dll [2131456 2015-01-10] () [File not signed] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] Startup: C:\Users\Czarny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_69234417.lnk HKU\S-1-5-21-1849503456-2863148246-254835565-1001\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150308 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150308 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1849503456-2863148246-254835565-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150308 BHO: DownSeave -> {06da8978-5121-4a48-b827-f98327789c1c} -> C:\Program Files (x86)\DownSeave\xBvY7uUsgBWTpl.x64.dll [2015-03-16] () BHO: AllSAvueR -> {2d477c33-99aa-45a6-a2bf-f7e9222f2a4d} -> C:\Program Files (x86)\AllSAvueR\UkkvNemEEdnAkQ.x64.dll [2015-03-15] () BHO: 50Coupoonss -> {4a90eaf8-f29d-4b85-9dc5-466b9d652bc6} -> C:\Program Files (x86)\50Coupoonss\2vurbYaooQ9R5U.x64.dll [2015-03-15] () BHO: SShopDrop -> {68b91223-d48a-426d-89e1-3c4e94c670ac} -> C:\Program Files (x86)\SShopDrop\4RdpqCPHfoLzFO.x64.dll [2015-03-14] () BHO: ShoapDrropu -> {819bfeff-ed46-4aca-aece-740e408f37cb} -> C:\Program Files (x86)\ShoapDrropu\6MBXpPpNVnt1ee.x64.dll [2015-03-15] () BHO: ShoepDrop -> {84387900-b619-4571-aa03-61ef90bcf1ff} -> C:\Program Files (x86)\ShoepDrop\vtA09BcppMAeO8.x64.dll [2015-03-15] () BHO: JoniaCoupon -> {8bb69613-ee87-4b1f-8302-371e18d7e488} -> C:\Program Files (x86)\JoniaCoupon\rCERjUevgWP7QE.x64.dll [2015-03-16] () BHO: RobboSaver -> {f4013285-610a-48e9-99f9-9da865984584} -> C:\Program Files (x86)\RobboSaver\Ru3Kz0emyQLDiw.x64.dll [2015-03-14] () BHO-x32: DownSeave -> {06da8978-5121-4a48-b827-f98327789c1c} -> C:\Program Files (x86)\DownSeave\xBvY7uUsgBWTpl.dll [2015-03-16] () BHO-x32: AllSAvueR -> {2d477c33-99aa-45a6-a2bf-f7e9222f2a4d} -> C:\Program Files (x86)\AllSAvueR\UkkvNemEEdnAkQ.dll [2015-03-15] () BHO-x32: 50Coupoonss -> {4a90eaf8-f29d-4b85-9dc5-466b9d652bc6} -> C:\Program Files (x86)\50Coupoonss\2vurbYaooQ9R5U.dll [2015-03-15] () BHO-x32: SShopDrop -> {68b91223-d48a-426d-89e1-3c4e94c670ac} -> C:\Program Files (x86)\SShopDrop\4RdpqCPHfoLzFO.dll [2015-03-14] () BHO-x32: ShoapDrropu -> {819bfeff-ed46-4aca-aece-740e408f37cb} -> C:\Program Files (x86)\ShoapDrropu\6MBXpPpNVnt1ee.dll [2015-03-15] () BHO-x32: ShoepDrop -> {84387900-b619-4571-aa03-61ef90bcf1ff} -> C:\Program Files (x86)\ShoepDrop\vtA09BcppMAeO8.dll [2015-03-15] () BHO-x32: JoniaCoupon -> {8bb69613-ee87-4b1f-8302-371e18d7e488} -> C:\Program Files (x86)\JoniaCoupon\rCERjUevgWP7QE.dll [2015-03-16] () BHO-x32: RobboSaver -> {f4013285-610a-48e9-99f9-9da865984584} -> C:\Program Files (x86)\RobboSaver\Ru3Kz0emyQLDiw.dll [2015-03-14] () C:\Program Files (x86)\prefs.js C:\Program Files (x86)\50Coupoonss C:\Program Files (x86)\AllSAvueR C:\Program Files (x86)\Blipshot one click screenshots C:\Program Files (x86)\Ciuvo Price Comparison C:\Program Files (x86)\DownSeave C:\Program Files (x86)\GureeaTSaVe4U C:\Program Files (x86)\Internet Manager C:\Program Files (x86)\JoniaCoupon C:\Program Files (x86)\Justin Bieber C:\Program Files (x86)\NetoCOupon C:\Program Files (x86)\ProcessProc C:\Program Files (x86)\RobboSaver C:\Program Files (x86)\ShoapDrropu C:\Program Files (x86)\ShoepDrop C:\Program Files (x86)\ShopDRop C:\Program Files (x86)\SSaveLots C:\Program Files (x86)\SShopDrop C:\Program Files (x86)\Turntable fm Extended C:\Program Files (x86)\VictorVal C:\Program Files (x86)\Yammer C:\ProgramData\12582629681077743816 C:\ProgramData\NoMore Ads C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\Czarny\AppData\Local\Microsoft\Windows\GameExplorer\{7EB857A8-A613-4B58-99A3-38D3D6007318} C:\Users\Czarny\AppData\Roaming\tbi74.dll C:\Users\Czarny\AppData\Roaming\Tibia C:\Users\Czarny\Desktop\StormFall.lnk C:\Users\Public\Documents\Baidu C:\Users\Czarny\Downloads\*(*)-dp*.exe C:\Windows\msdownld.tmp C:\Windows\pss\lsass.exe.Startup C:\Windows\SysWOW64\SupportAppCB Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Czarny^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^lsass.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LiveSupport" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pokki" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie, chodzi o poprzednie wyniki).

1. Uruchom AdwCleaner ponownie, wybierz dwie opcje w serii: Szukaj + Usuń. Gdy program ukończy czyszczenie szczątków adware: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\wmwb\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\M\AppData\Local\Pokki RemoveDirectory: C:\Users\M\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\M\Downloads\FRST-OlderVersion CMD: del /q C:\Users\M\Downloads\inxzqkp5.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezenyuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Wszystko jest OK. Jest prawie pusty, zrób go na nowo.

Wszystko zrobione. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: BHO: DeallsFaienderPPro -> {93c6ad1f-10ac-48b5-bf22-a733ed0a22e1} -> C:\Program Files (x86)\DeallsFaienderPPro\xzFvWkG62GfIAX.x64.dll No File BHO-x32: DeallsFaienderPPro -> {93c6ad1f-10ac-48b5-bf22-a733ed0a22e1} -> C:\Program Files (x86)\DeallsFaienderPPro\xzFvWkG62GfIAX.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\SoftCoupp RemoveDirectory: C:\ProgramData\1f5fc7b000004d58 RemoveDirectory: C:\ProgramData\68fab0559776ae49 RemoveDirectory: C:\ProgramData\69ccc53400002e43 RemoveDirectory: C:\ProgramData\fbb33a00000530e RemoveDirectory: C:\Users\mateusz\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\mateusz\AppData\Roaming\appdataFr3.bin Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezenyuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Wszystko wykonane. Kończymy: 1. Skasuj pobrany FRST z folderu C:\Documents and Settings\user\Pulpit\naprawa system oraz odpadkowy folder C:\Program Files\Opera. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Był uruchamiany GMER. Na wszelki wypadek sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Na koniec skorzystaj z DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj cały Windows, bo stan obecny to (brak SP1, IE11 i reszty): Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF) Wszystko opisane tu: KLIK.