picasso

Czy próbowałeś przeinstalować ponownie sterowniki graficzne NVIDIA? Jaka karta graficzna jest w systemie? Jeśli chodzi o czyszczenie z adware, poprzednie zadania wykonane i wszystko wygląda o niebo lepiej. Teraz już tylko poprawki natury bardziej kosmetycznej: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Opera C:\Users\kubos\AppData\Local\Opera Software C:\Users\kubos\AppData\LocalLow\Internet Speed Checker C:\Users\kubos\AppData\LocalLow\Temp C:\Users\kubos\AppData\Roaming\appdataFr3.bin C:\Users\kubos\AppData\Roaming\dlg C:\Users\kubos\AppData\Roaming\Easeware C:\Users\kubos\AppData\Roaming\GoldenGate C:\Users\kubos\AppData\Roaming\Opera Software CMD: for /d %f in (C:\Users\kubos\AppData\Local\*bron*) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj (na razie pomiń Usuń) i dostarcz log z folderu C:\AdwCleaner.

Sprawdź te instrukcje: KLIK. Poza tym, tak jak mówiłam NVIDIA GeForce Experience nie jest niezbędną instalacją i można w ogóle to w całości odinstalować, a aktualizacje sterowników sprawdzać ręcznie.

kondzior1989, prosiłam byś używał opcję Edytuj, jeśli nikt jeszcze nie odpisał, a chcesz coś poprawić. Znów napisałeś kilka postów pod rząd. Skleiłam. To nie jest Fixlog z moich zaleceń, to inny Fixlog sprzed kilku miesięcy (styczeń). W ogóle nie wykonałeś tego zadania. Powtarzaj punkty 2 do 4 z poprzedniej instrukcji. I na koniec masz dostarczyć dwa pliki FRST: FRST.txt oraz Addition.txt.

Wszystko zrobione. Możemy kończyć: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

NA KONCIE DAMIAN: Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{3D0F43D9-C1D7-733C-01F8-4A3001BF8CC3} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{4d349a54} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. NA KONCIE DAWID: Zapomniałeś dostarczyć logi FRST.txt + Addition.txt. Zrób je już po wykonaniu operacji na koncie Damian. NA KONCIE ADRIAN: 1. Przez Panel sterowania odinstaluj adware Gameo, PennyBeeUpdate. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [DAEMON Tools Pro Agent] => "C:\Program Files (x86)\DAEMON Tools Pro\DTAgent.exe" -autorun HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [Yahoo! Search] => C:\Users\adrian\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [PennyBee] => C:\Users\adrian\AppData\Local\PennyBee\PennyBeeW.exe HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\Run: [Gameo] => C:\Users\adrian\AppData\Roaming\Gameo\gameo.exe [42482176 2014-12-24] () HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\...\MountPoints2: {12ddc825-940c-11e4-bc60-0019666031da} - D:\AutoRun.exe /s HKU\S-1-5-21-1699041526-1260768229-1946834793-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> {4453A10C-0202-44FD-8208-B2597F3498EF} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&p2=^BED^OSJ000^YY^PL&gct=&itbv=12.18.0.81&apn_uid=EBC246C1-4F1E-43C9-9FF0-A37F0A56880A&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_38.0.2125.111&doi=2014-10-31&trgb=CR&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> {A5F0173E-B981-4C6F-BCD7-F12729D53CB1} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=9 SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" C:\Users\adrian\AppData\Local\Gameo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jeszcze należy doczyścić system ze śladów SurfVox. Decyduj co robić, bo jeśli w związku z poniższym defektem zdecydujesz się na nową instalację Windows 8.1, to czyszczenie tu obecnego nie ma sensu. To nie wygląda na powiązane z żadną infekcją. W Twoim systemie w ogóle brak Windows Defender, komponent całkowicie usunięty - brak usług, puste zadania Harmonogramu, pewnie brak folderów na dysku: ==================== Scheduled Tasks (whitelisted) ============= Task: {A2E6AF92-A27E-48C6-9213-2231E259B7DF} - \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance No Task File Task: {CC7E9366-CF26-4DC9-A66C-3EAB252649E1} - \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan No Task File Task: {E288921A-4336-4DEA-A1A6-6F3E6A856E5C} - \Microsoft\Windows\Windows Defender\Windows Defender Verification No Task File Task: {F67C3C3C-2EE9-498E-A0D8-AA09F8787FB1} - \Microsoft\Windows\Windows Defender\Windows Defender Cleanup No Task File W raportach widać ślady cracka KMSpico, co wskazuje że nie jest to legalny oryginalny Windows. W takim przypadku mogłaby być to wina płyty z której instalowałeś system (usunięty komponent). Podobny temat: KLIK.

Pokazane błędy nie pochodzą od infekcji: - Pierwszy błąd: instalator Adobe Flash nie może znaleźć biblioteki MSVCR110.dll należnej do Microsoft Visual C++ Redistributable 2012. Masz zainstalowaną 64-bitową wersję tych bibliotek, prawdopodobnie trzeba zainstalować jeszcze 32-bitową: KLIK. Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030 (HKLM-x32\...\{ca67548a-5ebe-413a-b50c-4b9ceb6d66c6}) (Version: 11.0.61030.0 - Microsoft Corporation) - Drugi błąd: generuje go skrót deinstalacyjny _uninst_69234417.lnk od usuniętego już narzędzia Kaspersky Removal Tool. Startup: C:\Users\Czarny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_69234417.lnk ShortcutTarget: _uninst_69234417.lnk -> C:\Users\Czarny\AppData\Local\Temp\_uninst_69234417.bat () Niemniej jest tu mnóstwo instalacji adware grupy "MultiPlug". Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: 50Coupoonss, AllSAvueR , Blipshot one click screenshots, DownSeave, GureeaTSaVe4U, JoniaCoupon, Justin Bieber, NetoCOupon, NoMore Ads, RobboSaver, ShoapDrropu, SSaveLots, Turntable fm Extended. - Starą wersję Adobe Flash Player 16 NPAPI oraz Google Chrome Canary (wersja bez blokady pod kątem adware). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 5965d732; c:\Program Files (x86)\ProcessProc\ProcessProc.dll [2131456 2015-01-10] () [File not signed] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] Startup: C:\Users\Czarny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_69234417.lnk HKU\S-1-5-21-1849503456-2863148246-254835565-1001\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150308 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150308 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1849503456-2863148246-254835565-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150308 BHO: DownSeave -> {06da8978-5121-4a48-b827-f98327789c1c} -> C:\Program Files (x86)\DownSeave\xBvY7uUsgBWTpl.x64.dll [2015-03-16] () BHO: AllSAvueR -> {2d477c33-99aa-45a6-a2bf-f7e9222f2a4d} -> C:\Program Files (x86)\AllSAvueR\UkkvNemEEdnAkQ.x64.dll [2015-03-15] () BHO: 50Coupoonss -> {4a90eaf8-f29d-4b85-9dc5-466b9d652bc6} -> C:\Program Files (x86)\50Coupoonss\2vurbYaooQ9R5U.x64.dll [2015-03-15] () BHO: SShopDrop -> {68b91223-d48a-426d-89e1-3c4e94c670ac} -> C:\Program Files (x86)\SShopDrop\4RdpqCPHfoLzFO.x64.dll [2015-03-14] () BHO: ShoapDrropu -> {819bfeff-ed46-4aca-aece-740e408f37cb} -> C:\Program Files (x86)\ShoapDrropu\6MBXpPpNVnt1ee.x64.dll [2015-03-15] () BHO: ShoepDrop -> {84387900-b619-4571-aa03-61ef90bcf1ff} -> C:\Program Files (x86)\ShoepDrop\vtA09BcppMAeO8.x64.dll [2015-03-15] () BHO: JoniaCoupon -> {8bb69613-ee87-4b1f-8302-371e18d7e488} -> C:\Program Files (x86)\JoniaCoupon\rCERjUevgWP7QE.x64.dll [2015-03-16] () BHO: RobboSaver -> {f4013285-610a-48e9-99f9-9da865984584} -> C:\Program Files (x86)\RobboSaver\Ru3Kz0emyQLDiw.x64.dll [2015-03-14] () BHO-x32: DownSeave -> {06da8978-5121-4a48-b827-f98327789c1c} -> C:\Program Files (x86)\DownSeave\xBvY7uUsgBWTpl.dll [2015-03-16] () BHO-x32: AllSAvueR -> {2d477c33-99aa-45a6-a2bf-f7e9222f2a4d} -> C:\Program Files (x86)\AllSAvueR\UkkvNemEEdnAkQ.dll [2015-03-15] () BHO-x32: 50Coupoonss -> {4a90eaf8-f29d-4b85-9dc5-466b9d652bc6} -> C:\Program Files (x86)\50Coupoonss\2vurbYaooQ9R5U.dll [2015-03-15] () BHO-x32: SShopDrop -> {68b91223-d48a-426d-89e1-3c4e94c670ac} -> C:\Program Files (x86)\SShopDrop\4RdpqCPHfoLzFO.dll [2015-03-14] () BHO-x32: ShoapDrropu -> {819bfeff-ed46-4aca-aece-740e408f37cb} -> C:\Program Files (x86)\ShoapDrropu\6MBXpPpNVnt1ee.dll [2015-03-15] () BHO-x32: ShoepDrop -> {84387900-b619-4571-aa03-61ef90bcf1ff} -> C:\Program Files (x86)\ShoepDrop\vtA09BcppMAeO8.dll [2015-03-15] () BHO-x32: JoniaCoupon -> {8bb69613-ee87-4b1f-8302-371e18d7e488} -> C:\Program Files (x86)\JoniaCoupon\rCERjUevgWP7QE.dll [2015-03-16] () BHO-x32: RobboSaver -> {f4013285-610a-48e9-99f9-9da865984584} -> C:\Program Files (x86)\RobboSaver\Ru3Kz0emyQLDiw.dll [2015-03-14] () C:\Program Files (x86)\prefs.js C:\Program Files (x86)\50Coupoonss C:\Program Files (x86)\AllSAvueR C:\Program Files (x86)\Blipshot one click screenshots C:\Program Files (x86)\Ciuvo Price Comparison C:\Program Files (x86)\DownSeave C:\Program Files (x86)\GureeaTSaVe4U C:\Program Files (x86)\Internet Manager C:\Program Files (x86)\JoniaCoupon C:\Program Files (x86)\Justin Bieber C:\Program Files (x86)\NetoCOupon C:\Program Files (x86)\ProcessProc C:\Program Files (x86)\RobboSaver C:\Program Files (x86)\ShoapDrropu C:\Program Files (x86)\ShoepDrop C:\Program Files (x86)\ShopDRop C:\Program Files (x86)\SSaveLots C:\Program Files (x86)\SShopDrop C:\Program Files (x86)\Turntable fm Extended C:\Program Files (x86)\VictorVal C:\Program Files (x86)\Yammer C:\ProgramData\12582629681077743816 C:\ProgramData\NoMore Ads C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 C:\Users\Czarny\AppData\Local\Microsoft\Windows\GameExplorer\{7EB857A8-A613-4B58-99A3-38D3D6007318} C:\Users\Czarny\AppData\Roaming\tbi74.dll C:\Users\Czarny\AppData\Roaming\Tibia C:\Users\Czarny\Desktop\StormFall.lnk C:\Users\Public\Documents\Baidu C:\Users\Czarny\Downloads\*(*)-dp*.exe C:\Windows\msdownld.tmp C:\Windows\pss\lsass.exe.Startup C:\Windows\SysWOW64\SupportAppCB Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Czarny^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^lsass.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LiveSupport" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pokki" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie, chodzi o poprzednie wyniki).

1. Uruchom AdwCleaner ponownie, wybierz dwie opcje w serii: Szukaj + Usuń. Gdy program ukończy czyszczenie szczątków adware: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\wmwb\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko zrobione. Poprawki: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\M\AppData\Local\Pokki RemoveDirectory: C:\Users\M\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\M\Downloads\FRST-OlderVersion CMD: del /q C:\Users\M\Downloads\inxzqkp5.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezenyuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Wszystko jest OK. Jest prawie pusty, zrób go na nowo.

Wszystko zrobione. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: BHO: DeallsFaienderPPro -> {93c6ad1f-10ac-48b5-bf22-a733ed0a22e1} -> C:\Program Files (x86)\DeallsFaienderPPro\xzFvWkG62GfIAX.x64.dll No File BHO-x32: DeallsFaienderPPro -> {93c6ad1f-10ac-48b5-bf22-a733ed0a22e1} -> C:\Program Files (x86)\DeallsFaienderPPro\xzFvWkG62GfIAX.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\SoftCoupp RemoveDirectory: C:\ProgramData\1f5fc7b000004d58 RemoveDirectory: C:\ProgramData\68fab0559776ae49 RemoveDirectory: C:\ProgramData\69ccc53400002e43 RemoveDirectory: C:\ProgramData\fbb33a00000530e RemoveDirectory: C:\Users\mateusz\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\mateusz\AppData\Roaming\appdataFr3.bin Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezenyuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Wszystko wykonane. Kończymy: 1. Skasuj pobrany FRST z folderu C:\Documents and Settings\user\Pulpit\naprawa system oraz odpadkowy folder C:\Program Files\Opera. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Był uruchamiany GMER. Na wszelki wypadek sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Na koniec skorzystaj z DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj cały Windows, bo stan obecny to (brak SP1, IE11 i reszty): Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: FF) Wszystko opisane tu: KLIK.

Linia DhcpNameServer już ma poprawne DNS. Mam nadzieję, że router został zabezpieczony wg wskazówek. Natomiast Fix FRST uruchamiałeś dwa razy (skrypty są jednorazowego użytku) - jaki był powód, program się zawiesił? Pomijając ten zgrzyt, wszystko wygląda na wykonane. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Drobne poprawki do wdrożenia. Do Notatnika wklej: BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\plugin2\npjp2.dll No File S3 cpuz138; \??\C:\Users\Marek\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\ProgramData\TEMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Zapomniałeś podać fixlog.txt z wynikami skryptu. Ale już to sobie darujmy, gdyż widzę zmiany w nowym raporcie FRST. Natomiast mam wątpliwości czy na pewno wykonałeś te akcje: wyczyszczenie synchronizacji Google Chrome oraz deinstalacja z zaznaczonym usuwaniem danych przeglądarki. W nowym logu Google Chrome wygląda tak jakby zaraz po nowej instalacji zostały zaimportowane z serwera Google wszystkie poprzednie ustawienia, duża ilość zainstalowanych rozszerzeń i to tych samych co poprzednio (w tym jedno z nich to adware) oraz adresy adware otwierane przy starcie. Kolejne poprawki: 1. W Google Chrome: Zresetuj synchronizację (wyczyść dane): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj szczątek 360 Internet Protection oraz adware WebSite Recommendation. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy myhoome.com, delta-search.com, do-search.com, przestaw na "Otwórz stronę nowej karty". Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Na koniec: 1. Skasuj pobrane narzędzia z folderu C:\Users\domdz_000\Desktop\wir. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Zadania pomyślnie wykonane. Kończąc czyszczenie systemu z adware: Zastosj DelFix (pobrany GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. Mulenie ma inną przyczynę, nie jest powiązane z usuwanym adware (to były zresztą szczątki bez wpływu na partię startową systemu). Możliwa przyczyna to instalacja AVG. Ponadto, w Dzienniku zdarzeń są błędy natury sprzętowej: System errors: ============= Error: (03/19/2015 07:40:01 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY) Description: A fatal hardware error has occurred. Reported by component: Processor Core Error Source: 3 Error Type: 9 Processor ID: 0 The details view of this entry contains further information. Error: (03/19/2015 07:40:01 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY) Description: A fatal hardware error has occurred. Reported by component: Processor Core Error Source: 3 Error Type: 9 Processor ID: 0 The details view of this entry contains further information. Pod tym kątem załóż nowy temat w dziale Hardware dostarczając dane wymagane działem: KLIK. Zlinkuj też do tego tematu, by było wiadome jaka jest geneza zakładania nowego tematu.

Wszystko zrobione, z wyjątkiem jednego wpisu (za późno poprawiłam literówkę). Poprawki: 1. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\efsui.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom Malwarebytes Anti-Malware (podczas instalacji odznacz trial). Zrób pełne skanowanie i dostarcz wynikowy raport, o ile coś zostanie znalezione.

1. Uruchom AdwCleaner ponownie i wybierz po kolei opcje Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\AVG2014 RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Users\Samsung\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikoy fixlog.txt.

Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie i zastosuj kombinację opcji Search + Clean. Gdy program ukończy usuwanie adware: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: G:\AdwCleaner RemoveDirectory: G:\Documents and Settings\Pc\Pulpit\Stare dane programu Firefox RemoveDirectory: G:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikoy fixlog.txt.

Wszystko wykonane. Jeszcze drobnostki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1444083916-2435873415-4136039214-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\domdz_000\AppData\Local\Akamai\netsession_win.exe" CMD: del /q C:\Users\domdz_000\Downloads\l7kloeln.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Układ adware pasuje do "Asystenta pobierania" któregoś portalu (mógł być to portal dobreprogramy.pl): KLIK. Są też ślady korzystania z serwisu Instalki.pl (modyfikacja strony Nowej karty w IE), ale wydaje się że to odrębna sprawa. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158816 2015-03-10] (XTab system) R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-19] (SysTool PasSame LIMITED) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1390067357-583907252-842925246-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKU\S-1-5-21-1390067357-583907252-842925246-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1426786852&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {3E11A34D-CD50-4A89-82BA-571B0AB8EB7C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1390067357-583907252-842925246-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VMCG4S6XXXX5VMCG4S6&ts=1426786918&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll [2015-03-10] (Thinknice Co. Limited) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Documents and Settings\MM\Dane aplikacji\Mozilla\Firefox\Profiles\jr22v0pi.default-1367269415453\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Documents and Settings\MM\Dane aplikacji\Mozilla\Firefox\Profiles\jr22v0pi.default-1367269415453\extensions\istart_ffnt@gmail.com C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\MM\FIX.REG C:\Documents and Settings\MM\Dane aplikacji\do-search C:\Program Files\Mozilla Firefox\plugins C:\Program Files\XTab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\do-search uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko wykonane, brak już oznak infekcji w raportach. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.