picasso

Linia DhcpNameServer już ma poprawne DNS. Mam nadzieję, że router został zabezpieczony wg wskazówek. Natomiast Fix FRST uruchamiałeś dwa razy (skrypty są jednorazowego użytku) - jaki był powód, program się zawiesił? Pomijając ten zgrzyt, wszystko wygląda na wykonane. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Drobne poprawki do wdrożenia. Do Notatnika wklej: BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\plugin2\npjp2.dll No File S3 cpuz138; \??\C:\Users\Marek\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\TEMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Zapomniałeś podać fixlog.txt z wynikami skryptu. Ale już to sobie darujmy, gdyż widzę zmiany w nowym raporcie FRST. Natomiast mam wątpliwości czy na pewno wykonałeś te akcje: wyczyszczenie synchronizacji Google Chrome oraz deinstalacja z zaznaczonym usuwaniem danych przeglądarki. W nowym logu Google Chrome wygląda tak jakby zaraz po nowej instalacji zostały zaimportowane z serwera Google wszystkie poprzednie ustawienia, duża ilość zainstalowanych rozszerzeń i to tych samych co poprzednio (w tym jedno z nich to adware) oraz adresy adware otwierane przy starcie. Kolejne poprawki: 1. W Google Chrome: Zresetuj synchronizację (wyczyść dane): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj szczątek 360 Internet Protection oraz adware WebSite Recommendation. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy myhoome.com, delta-search.com, do-search.com, przestaw na "Otwórz stronę nowej karty". Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Na koniec: 1. Skasuj pobrane narzędzia z folderu C:\Users\domdz_000\Desktop\wir. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zadania pomyślnie wykonane. Kończąc czyszczenie systemu z adware: Zastosj DelFix (pobrany GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. Mulenie ma inną przyczynę, nie jest powiązane z usuwanym adware (to były zresztą szczątki bez wpływu na partię startową systemu). Możliwa przyczyna to instalacja AVG. Ponadto, w Dzienniku zdarzeń są błędy natury sprzętowej: System errors: ============= Error: (03/19/2015 07:40:01 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY) Description: A fatal hardware error has occurred. Reported by component: Processor Core Error Source: 3 Error Type: 9 Processor ID: 0 The details view of this entry contains further information. Error: (03/19/2015 07:40:01 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY) Description: A fatal hardware error has occurred. Reported by component: Processor Core Error Source: 3 Error Type: 9 Processor ID: 0 The details view of this entry contains further information. Pod tym kątem załóż nowy temat w dziale Hardware dostarczając dane wymagane działem: KLIK. Zlinkuj też do tego tematu, by było wiadome jaka jest geneza zakładania nowego tematu.

Wszystko zrobione, z wyjątkiem jednego wpisu (za późno poprawiłam literówkę). Poprawki: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\efsui.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom Malwarebytes Anti-Malware (podczas instalacji odznacz trial). Zrób pełne skanowanie i dostarcz wynikowy raport, o ile coś zostanie znalezione.

1. Uruchom AdwCleaner ponownie i wybierz po kolei opcje Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVG2014 RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Users\Samsung\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikoy fixlog.txt.

Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie i zastosuj kombinację opcji Search + Clean. Gdy program ukończy usuwanie adware: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: G:\AdwCleaner RemoveDirectory: G:\Documents and Settings\Pc\Pulpit\Stare dane programu Firefox RemoveDirectory: G:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikoy fixlog.txt.

Wszystko wykonane. Jeszcze drobnostki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\domdz_000\AppData\Local\Akamai\netsession_win.exe" CMD: del /q C:\Users\domdz_000\Downloads\l7kloeln.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Układ adware pasuje do "Asystenta pobierania" któregoś portalu (mógł być to portal dobreprogramy.pl): KLIK. Są też ślady korzystania z serwisu Instalki.pl (modyfikacja strony Nowej karty w IE), ale wydaje się że to odrębna sprawa. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158816 2015-03-10] (XTab system) R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-19] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1390067357-583907252-842925246-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKU\S-1-5-21-1390067357-583907252-842925246-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {3E11A34D-CD50-4A89-82BA-571B0AB8EB7C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll [2015-03-10] (Thinknice Co. Limited) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\MM\Dane aplikacji\Mozilla\Firefox\Profiles\jr22v0pi.default-1367269415453\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Documents and Settings\MM\Dane aplikacji\Mozilla\Firefox\Profiles\jr22v0pi.default-1367269415453\extensions\istart_ffnt@gmail.com C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\MM\FIX.REG C:\Documents and Settings\MM\Dane aplikacji\do-search C:\Program Files\Mozilla Firefox\plugins C:\Program Files\XTab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\do-search uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko wykonane, brak już oznak infekcji w raportach. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Problem tworzy wpis startowy "CMD". Akcje do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2722554554-3565409741-3313146463-1000\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit HKU\S-1-5-21-2722554554-3565409741-3313146463-1000\...\MountPoints2: {cc085ab3-e100-11e3-a971-806e6f6e6963} - E:\Run.exe Winlogon\Notify\igfxcui: igfxdev.dll [X] FF user.js: detected! => C:\Users\Dariusz\AppData\Roaming\Mozilla\Firefox\Profiles\n1wtbsvl.default\user.js [2014-06-05] S4 LMIRfsClientNP; No ImagePath S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S2 LMIInfo; \??\D:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S3 WinRing0_1_2_0; \??\C:\Users\Dariusz\Desktop\OpenHardwareMonitor\OpenHardwareMonitor.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Client.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Control Panel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games\Sid Meier's Railroad Tycoon C:\ProgramData\TEMP C:\Users\Dariusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7111c0ce965b7246\Battle.net.lnk C:\Users\Dariusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WINAMP.LNK C:\Users\Dariusz\Desktop\Smellyriver.TankInspector.exe — skrót.lnk C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XVM FULL 5.3.2 conf by DjVirusPL 0.9.1 v1 Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Post "przypominający" poleciał do Kosza. Są zasady działu nakreślone, jest wyraźnie powiedziane kto może udzielać pomocy (aktualnie tylko ja) oraz jak to się ma do ilości tematów. Temat założony wczoraj, nie oczekuj że pomoc będzie natychmiastowa, bo ja nie jestem w stanie warować 24/7. Odpowiedź nadchodzi, gdy jestem obecna i mam czas się zająć tematem. W systemie jest adware Between Lines. Adware nabyte z portali podczas kompletowania softu: KLIK. Ślady w logu wskazują na portal dobreprogramy.pl i jego straszny "Asystent pobierania", gdyż w raporcie jest również charakterystyczna modyfikacja strony startowej: www.wp.pl/?src01=dp220150316. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware Between Lines. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {235bfba4-b6cc-4013-8592-b3d4d0ca0959}Gt; C:\Windows\System32\drivers\{235bfba4-b6cc-4013-8592-b3d4d0ca0959}Gt.sys [55824 2015-03-15] (StdLib) R1 {38c95e98-da81-4038-a23a-50d0e098cff8}Gt; C:\Windows\System32\drivers\{38c95e98-da81-4038-a23a-50d0e098cff8}Gt.sys [55824 2015-03-18] (StdLib) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150316 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\Between Lines C:\Program Files\GUM8A74.tmp C:\Program Files\GUT8BAD.tmp C:\Users\Borek\{2c9cf152-c2c5-49e7-a143-1f75bb87fa55} C:\Users\Borek\AppData\Local\Google c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\drivers\{235bfba4-b6cc-4013-8592-b3d4d0ca0959}Gt.sys C:\Windows\System32\drivers\{38c95e98-da81-4038-a23a-50d0e098cff8}Gt.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Proszę nie wyciągaj logów FRST z katalogu C:\FRST\Logs - tam jest archiwum, nie są mi te dane potrzene. Tylko bieżące logi. Usunęłam z posta nadwyżkowy log wygrzebany z tego folderu. W systemie jest adware do-search.com oraz Primary Result. Na dodatek adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana reinstalacja. Wg raportów widać, że conajmniej jedną porcję adware prawdopodobnie nabyłeś z portalu dobreprogramy.pl uruchamiając dziadostwo pod nazwą "Asystent pobierania": KLIK. Na dysku widać plik "Asystenta" tego serwisu. Ale w logu są też obiekty sugerujące, że ten portal to nie jedyne źródło adware. Do wdrożenia: 1. Przez Panel sterowania odinstaluj adware do-search uninstall, Primary Result, Software Management Module, poszkodowane Google Chrome oraz zbędny przestarzały Spybot - Search & Destroy. Przed deinstalacją Google Chrome: wyeksportuj zakładki oraz zresetuj synchronizację (o ile włączona): KLIK. Podczas deinstalacji Google Chrome wybierz opcję Usuń także dane przeglądarki. Nie instaluj na razie nowej wersji Google. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: R1 {1601c372-fdd4-4d07-81cb-8d80cd533a89}Gw64; C:\Windows\System32\drivers\{1601c372-fdd4-4d07-81cb-8d80cd533a89}Gw64.sys [48792 2015-03-18] (StdLib) R1 {7edae523-2f47-48a4-be5c-2db16c2cad61}Gw64; C:\Windows\System32\drivers\{7edae523-2f47-48a4-be5c-2db16c2cad61}Gw64.sys [48792 2015-03-15] (StdLib) R1 {af159d03-4801-4284-bdcb-4497403da962}Gw64; C:\Windows\System32\drivers\{af159d03-4801-4284-bdcb-4497403da962}Gw64.sys [48792 2015-03-13] (StdLib) S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X] Task: {6D0C6D48-A3AF-4800-A3E9-50CBA37E6DBE} - System32\Tasks\MaxigetMasterUpdate => C:\Users\ocznik1986\AppData\Roaming\Maxiget\Master\Updater\MasterUpdater.exe HKLM-x32\...\Run: [gmsd_pl_55] => [X] HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [MaxigetMasterUpdate] => "C:\Users\ocznik1986\AppData\Roaming\Maxiget\Master\Updater\MasterUpdater.exe" -autorun HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\...\Run: [EpicScale] => [X] Startup: C:\Users\ocznik1986\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426509524&from=cor&uid=ST1000LM014-SSHD-8GB_W381RH3BXXXXW381RH3B&q={searchTerms} HKU\S-1-5-21-2702095170-3591425996-2869741432-1002\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Primary Result C:\ProgramData\{6eee2b1e-e01b-3c56-6eee-e2b1ee01ac7b} C:\ProgramData\{7e510603-95ef-ca8d-7e51-1060395e180e} C:\ProgramData\{caac1a9c-8aa9-1d9a-caac-c1a9c8aa6a72} C:\ProgramData\{f07ed24d-8c9d-c41b-f07e-ed24d8c94936} C:\ProgramData\{fd421ffc-f5c7-3260-fd42-21ffcf5c7ff3} C:\ProgramData\AVAST Software C:\Users\ocznik1986\AppData\Local\Google C:\Users\ocznik1986\AppData\Local\GGEmpire C:\Users\ocznik1986\AppData\Local\WorldofTanks C:\Users\ocznik1986\AppData\Roaming\do-search C:\Users\ocznik1986\AppData\Roaming\Maxiget C:\Users\ocznik1986\AppData\Roaming\WorldofTanks C:\Users\ocznik1986\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\ocznik1986\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk C:\Users\ocznik1986\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{1601c372-fdd4-4d07-81cb-8d80cd533a89}Gw64.sys C:\Windows\System32\drivers\{7edae523-2f47-48a4-be5c-2db16c2cad61}Gw64.sys C:\Windows\System32\drivers\{af159d03-4801-4284-bdcb-4497403da962}Gw64.sys C:\Windows\system32\drivers\Msft_Kernel_webTinstMK_01009.Wdf Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-21-2702095170-3591425996-2869741432-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-2702095170-3591425996-2869741432-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Zakaz podpinania się - post wydzielony w osobny temat. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: Adobe Flash Player 16 NPAPI, Akamai NetSession Interface, Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit HKU\S-1-5-21-1444083916-2435873415-4136039214-1002\...\MountPoints2: {c2c312a5-f6fa-11e2-be88-c4850844c5fe} - "E:\LGAutoRun.exe" HKLM\...\Policies\Explorer: [NoControlPanel] 0 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-1444083916-2435873415-4136039214-1002] => proxy.sgh.waw.pl:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ SearchScopes: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3319597&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SPEBCB5416-43DC-4943-BDB1-220E1AA03E7C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3319597&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SPEBCB5416-43DC-4943-BDB1-220E1AA03E7C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - D:\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-26] S1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X] Task: {65DFCD4D-02C1-46BF-8C6D-918CBA270139} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe C:\ProgramData\TEMP C:\Users\domdz_000\AppData\Roaming\*.txt C:\Users\domdz_000\AppData\Roaming\appdataFr2.bin C:\Users\domdz_000\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\SysWOW64\nvinit.dll" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jak sądzę, problem dotyczy Google Chrome. W raportach nie widać w ogóle żadnego obiektu związanego z "Roll Around" w Chrome, notuję też że próbowałeś stworzyć nowy profil przeglądarki. Wnioski: przypuszczalnie został zainfekowany któryś globalny plik Google i należy wykonać reinstalację. Zrób co następuje: 1. Wyeksportuj z Chrome zakładki do pliku. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wybierz Usuń także dane przeglądarki. 2. Odinstaluj także zbędny pasek Panda Security Toolbar, deinstalacja nie spowoduje ustania działania komponentu Panda Security URL Filtering. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-03-18] () S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] HKLM-x32\...\Run: [Panda Security URL Filtering] => "C:\ProgramData\Panda Security URL Filtering\Panda_URL_Filtering.exe" HKU\S-1-5-21-3617511302-1899917538-1642246823-1000\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-3617511302-1899917538-1642246823-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-3617511302-1899917538-1642246823-1000\...\MountPoints2: {4125f4cc-ca92-11e4-92b8-806e6f6e6963} - E:\AutoRun.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\$360Section C:\sh4ldr C:\Program Files\Enigma Software Group C:\Program Files (x86)\360 C:\ProgramData\360Quarant C:\ProgramData\Malwarebytes C:\Users\Admin\AppData\Roaming\do-search C:\Users\Admin\AppData\Roaming\Enigma Software Group C:\Users\Admin\Start Menu\Programs\SpyHunter C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\Tasks\360Disabled Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\do-search uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zainstaluj najnowszą wersję Google Chrome: KLIK (sekcja Aktualizacji programów). 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Wypowiedz się czy nadal są problemy.

Naprawiony nowy bug IPB ujawniony na najnowszym Firefox 36, tzn. brak zawijania wiersza podczas wpisywania treści w edytorze. Przed: Po:

Wszystko pomyślnie wykonane. Teraz już tylko drobne poprawki: Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj jeszcze Usuń) i pokaż log wynikoy z folderu C:\AdwCleaner.

Spreawdź jeszcze: 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Efekty wizualne... > Ustawienia > przestawienie między opcjami (wypróbuj różne konfiguracje). 2. Start > w polu szukania wpisz regedit > z prawokliku na pniższy klucz wyeksportuj go do pliku REG i wklej do posta zawartość. HKEY_CURRENT_USER\Control Panel\Mouse

Czy da się zrobić następującą akcję: zainstalować ponownie SpyHunter, a następnie odinstalować?

OK. Na koniec: 1. Ustaw wybraną przeglądarkę jako domyślną, gdyż obecnie funkcję tę pełni nieistniejący już w systemie szkodnik Crossbrowse (nie został ten śmieć poprawnie odinstalowany): (Default browser path: "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\Crossbrowse.exe" -- "%1") 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj cały Winows (montaż SP1 + IE11 i reszty): KLIK.

A gdzie Fixlog z wynikami przetwarzania skryptu? Nie uruchamiaj ponownie - chodzi o plik, który już powstał. Poza tym, milczysz jak zaklęty czy są jakieś zmiany - czyli brak? W podanym tu raporcie FRST brak jakichkolwiek oznak infekcji...

Wszystko wykonane na obu kontach. Na koncie Błysku w ogóle nie widzę żadnych przekierowań Key-find.com. Gdzie to konkretnie obserwujesz - w IE czy Firefox, przy starcie przeglądarki czy później, w których miejscu (strona startowa, nowa karta, wyszukiwarka)? Zrób mi nowy log FRST Shortcut.