picasso

Logi z OTL nie są obowiązkowe, usuwam. W raportach prawie nic nie widać - tylko szczątki adware w Harmonogramie zadań, ale one nie produkują opisywanych reklam. Jeśli nadal widzisz reklamy w Google Chrome (a nie w IE), to prawdopodobnie któryś plik Google jest zainfekowany i wymagana kompleksowa reinstalacja przeglądarki. Na razie wykonaj: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00FBDA02-6384-4ECF-9D47-C383D388B0A2} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update2 Task: {2B35286F-9A14-4328-A618-3FAA6CF60281} - System32\Tasks\{882698BD-9159-4867-B549-AB925204A242} => C:\Users\V-TEC gArAge\Downloads\Eroot 1.3.4.exe Task: {995EC929-9B2E-4C34-ADF5-DAF14708C4AB} - System32\Tasks\{290F1C3E-8CD5-4B18-B9C9-DD2B597A29B5} => C:\Users\V-TEC gArAge\Downloads\Audio_Realtek_v5.10.0.5610_Vistax86\Audio_Realtek_v5.10.0.5610_Vistax86\Setup.exe Task: {CC4CAC11-6A28-45DE-8583-7AD86BB0AD88} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update3 Task: {E4F546E6-D6E3-4ADB-9585-7DF05A00BE37} - System32\Tasks\{4473B2DD-76CB-4F68-96A4-CF3F700AD611} => C:\Program Files\FiatECUScan\fiatecuscan.3.3-patch.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:Tabs HKU\S-1-5-21-2979475767-1543253823-3342019378-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki C:\Users\V-TEC gArAge\AppData\Local\Opera Software C:\Users\V-TEC gArAge\AppData\Roaming\Opera Software C:\Users\V-TEC gArAge\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\V-TEC gArAge\Downloads\OTL*.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyeksportuj z Google Chrome zakładki. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj Google Chrome, zaznaczając opcję Usuń także dane przeglądarki. Po tym zainstaluj ponownie i zaimportuj zakładki. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy.

Noosfe, brak zmian, bo prawie nic nie wykonane. Proszę popatrz do mojego posta jak wyglądał skrypt FRST i porównaj z wynikami Fixlog. Całkowicie zdeformowałeś skrypt (przepuszczony przez translator Google) - wszystkie linie skopane, sztuczne spolszczenia nazw, niepożądane spacje, brak przejść do nowej linii gdzie należy. Wszystklo robisz od początku.

Obrazki w poście numer 2 nieczytelne - to zlinkowane miniatury. Brak trzeciego obowiązkowego pliku FRST Shortcut. Problemy z siecią i instalacjami, błędy "Odmowa dostępu" / "Access denied" = prędzej podejrzany COMODO Firewall z Defense+. Nawiasem mówiąc, nie wygląda, by były tu dwa antywirusy, jak sugerowane wcześniej - na liście zainstalowanych jest wyliczany COMODO Firewall (a nie antywirus), takie rejestracje są też w obszarach WMI Centrum zabezpieczeń. Na nowych systemach nie ma już potrzeby "zamykania portów" i nie należy stosować tego starego programu na systemach Vista i nowszych. WWDC jest przystosowany do starych XP, na nowszych platformach, które mają zupełnie inną strukturę, czyni szkody - przestaje działać Harmonogram zadań i pada mnóstwo funkcji pod niego podpiętych. Przykłady z forum: KLIK, KLIK. Niestety już zdążyłeś sobie zaszkodzić - Dziennik zdarzeń wyraźnie zgłasza naruszenie Harmonogramu spowodowane WWDC: Application errors: ================== Error: (03/15/2015 06:16:30 PM) (Source: Schedule) (EventID: 0) (User: ) Description: Schedule error: 0Initialize call failed, bailing out W raportach nie ma żadnych oznak infekcji Sirefef / ZeroAccess - ta infekcja jest zresztą martwa (nieaktywny botnet) i spotyka się ją obecnie na systemach, na których w przeszłości jej nie wyczyszczono. Detekcje Trojan.Siredef.C na Twoim komputerze się nie liczą. To wyniki z Kosza systemowego, które nawet nie odpowiadają wzorowi Sirefef. Wszystko wygląda jak usunięty do Kosza jakiś nieszkodliwy katalog z folderami językowymi, wykrywany fałszywie jako "Sirefef" ze względu na specyficzne frazy w ścieżce (np. to samotne "L"). Zważ też na to, że wyniki te pojawiły się dopiero w drugim skanie MBAM, co sugeruje że w międzyczasie coś po prostu kasowałeś. Wystarczy opróżnić Kosz. Trojan.Siredef.C, c:\$recycle.bin\s-1-5-21-950601680-909652224-4197209155-1003\$rt84zzp\l\ar-xm, , [fbae160c533768ce21ec58a9a759946c], Reszta wyników z AdwCleaner i MBAM to adware. Z tym że w wynikach AdwCleaner wszystkie pozycje mające w nazwie "AdTrustMedia" to fałszywy alarm i błędna detekcja AdwCleaner (jakiś czas temu to zgłaszałam autorowi) - to są składniki COMODO PrivDog. Logowanie IP jest nie do sprawdzenia przy udziale podanych raportów. Zresztą moim zdaniem tu nie ma żadnego problemu tego typu, brak śladów infekcji wykradającej hasła, tylko adware. W raportach nie ma oznak globalnej infekcji - jest tylko adware w Firefox, działanie zawężone tylko do przeglądarki Firefox (brak wpływu na inne obszary systemowe). Czyli do usunięcia to adware, wpisy typu odpadkowego i odkręcenie szkód poczynionych WWDC: 1. Odinstaluj stare wersje: Adobe Flash Player 15 Plugin, Adobe Flash Player 16 ActiveX, Adobe Shockwave Player 11.6. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {257B92DB-7FAB-4984-BB62-6819BC0210B7} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.1.14\SymErr.exe Task: {6391BBDB-119A-4335-A67C-7E3BBD15B019} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.1.14\WSCStub.exe Task: {F6874E05-3A9B-40E9-8C4C-D45CF5DD15DE} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.1.14\SymErr.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe Startup: C:\Users\elmaestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKU\S-1-5-21-950601680-909652224-4197209155-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki Toolbar: HKU\S-1-5-21-950601680-909652224-4197209155-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File C:\Program Files (x86)\DriverToolkit C:\Program Files (x86)\oTweak C:\ProgramData\APN C:\Users\HP\AppData\Local\DriverToolkit C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\oTweak Software C:\Users\HP\AppData\Roaming\RHEng C:\Users\HP\Desktop\VOPackage.exe C:\Windows\System32\Tasks\Norton Internet Security DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Internet Security Reg: reg delete HKCU\Software\DriverToolkit /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6} /f Reg: reg delete HKCU\Software\oTweak /f Reg: reg delete HKCU\Software\Softonic /f Reg: reg query HKLM\SOFTWARE\Microsoft\Ole /s Reg: reg query HKLM\SOFTWARE\Microsoft\Rpc /s Reg: reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d Y /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Rpc\Internet /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Report" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SoftonicAssistant" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan na następujących warunkach: w sekcji Internet odznacz Whitelist oraz zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

W Firefox jest adware Round World 1.0.1. Przy okazji, to Windows 8 ze zmanipulowaną aktywacją - jest tu KMSpico, który wprowadził dodatkowy sterownik WinDivert1.1 ingerującym w ruch sieciowy. Nie biorę odpowiedzialności za te obiekty. Działania do wdrożenia: 1. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150219 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150219 HKU\S-1-5-21-3507730397-4177250630-1528934753-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150219 Task: {D1793D9D-C1CA-4FBC-ACFA-5B786E9708D6} - System32\Tasks\{B9177220-0026-439F-A478-12716F533A93} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.18.0.106&LastError=12002 C:\ProgramData\McAfee C:\Users\Klaudia\AppData\Roaming\ClassicShell C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\startscreen.lnk C:\Users\Klaudia\Desktop\Continue PDFCreator installation.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Skype /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz log z wynikami skryptu z katalogu C:\_OTL (należy ręcznie zmienić rozszerzenie z *.LOG na *.TXT, by załączniki go zaakceptowały). Potwierdź ustąpienie problemów.

Przypuszczalna przyczyna zachowania to katastrofa w instalacjach antywirusowych - czynne równolegle Avast + AVG 2015. Poza tym, również są widoczne instalacje adware, głównie wpisy puste, ale są też i obiekty niewybrakowane. Log z WinRE jest mocno ograniczony. Daj znać czy temat nadal aktualny, a go pociągnę. Jeśli jednak Recovery zostało już zrobione, temat zamknę.

W systemie działa szkodnik Math Problem Solver - Bitcoin miner uruchamiany via Harmonogram zadań. Spodziewane wysokie obciążenie mocy CPU/GPU. Akcja: 1. Przez Panel sterowania odinstaluj Math Problem Solver, Apple Software Update + Safari (dziurawa stara przeglądarka bez aktualizacji), Spybot - Search & Destroy (przestarzały, na dzień dzisiejszy marnie się sprawdza). 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S2 servervo; C:\Users\TJRP7\AppData\Roaming\VOPackage\VOsrv.exe [X] HKLM-x32\...\Run: [Adobe ARM] => "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM-x32\...\Run: [CorelDRAW Graphics Suite 11b] => C:\Program Files (x86)\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=071514 serial=DR12WRX-0072592-PBC lang=EN HKLM-x32\...\Run: [mbot_pl_70] => [X] HKLM-x32\...\Run: [ConvertAd] => C:\Users\TJRP7\AppData\Local\ConvertAd\ConvertAd.exe Task: {206232C0-5B32-496B-81CB-05B5A264A6C8} - System32\Tasks\{06444CA6-D931-4178-839C-80035275566F} => C:\Users\TJRP7\Downloads\TrueCrypt Setup 7.1a(1).exe Task: {228A4EA5-DF9C-4B77-99EF-3D40FC28A62E} - System32\Tasks\Math Problem Solver CPU => C:\Users\TJRP7\AppData\Local\Math Problem Solver\cpu\Solve.exe [2013-07-10] () Task: {68AB474D-BFB5-4459-BA30-0466FB39FA68} - System32\Tasks\{A8751DBA-579F-47CB-BFE6-4BB3E866FDB7} => C:\Users\TJRP7\Downloads\TrueCrypt Setup 7.1a(1).exe Task: {71FFD81B-22D3-4B95-909B-BD7C02F7F905} - System32\Tasks\Math Problem Solver Optimize => C:\Users\TJRP7\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {7A0B5099-7C13-45C7-8E20-0F20F6FEEB17} - System32\Tasks\Math Problem Solver GPU => C:\Users\TJRP7\AppData\Local\Math Problem Solver\gpu\Solve.exe [2014-02-13] () Task: {7FC09B79-367F-4ABF-A8D0-CE314887A522} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {8A66D101-3B1A-4E52-836C-DACDFB388025} - System32\Tasks\{399F6422-DFB6-4316-962D-04327FE1B6D6} => C:\Users\TJRP7\Downloads\TrueCrypt Setup 7.1a(1).exe Task: {8E26A562-A272-42D5-BAC6-AD6D48F874FE} - System32\Tasks\{D403F81A-B081-46F9-BCC9-36CCBF6C54B3} => C:\Program Files (x86)\Corel\Corel Graphics 12\Programs\CorelPP.exe Task: {9BAF97DC-179A-41F0-8B5A-77FC0A84F3C6} - System32\Tasks\{36B14706-85BD-4728-A95F-58D5B5EEED18} => C:\Users\TJRP7\Downloads\TrueCrypt Setup 7.1a(1).exe Task: {AB61B3F9-5D22-4B7A-9E95-F987A2516DDB} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {E1D674FE-7041-41E4-8733-94BA493BE13F} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Evolus C:\Users\TJRP7\AppData\Local\nsh463D.tmp C:\Users\TJRP7\AppData\Local\nsyD448.tmp C:\Users\TJRP7\AppData\Local\Math Problem Solver C:\Users\TJRP7\AppData\Roaming\regsvr32.exe_log.txt C:\Users\TJRP7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bloodshed Dev-C++ C:\Users\TJRP7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\TJRP7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage CMD: type C:\Users\TJRP7\AppData\Roaming\Mozilla\Firefox\Profiles\zi42guif.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz poprawę.

W raportach brak oznak czynnej infekji. Skoro ComboFix "tymczasowo" powoduje ustąpienie problemu, to nasuwa się czynny jakiś proces w tle zabijany przez ComboFix. Najbardziej inwazyjnym układem widocznym w raporcie, który również ingeruje w sieć (firewall), jest pakiet 360 Total Security. To zresztą jedna z bardzo świeżych instalacji. Na próbę go odinstaluj.

W raporetach była widoczna duża ilość adware. Skoro przywróciłeś system, poprzednie raporty są nieaktualne. Przywracanie systemu radykalnie zmienia wygląd komponentów branych pod uwagę. Należy zrobić nowe raporty FRST (wszystkie trzy).

Sprecyzuj co to oznacza "nie chce się aktualizować" - co uruchamiasz i jaki błąd się pokazuje. Nawiasem mówiąc NVIDIA GeForce Experience można w ogóle się pozbyć deinstalując całość, nie jest to krytyczny komponent, a czasem sprawia też problemy.

1. AdwCleaner znalazł jeszcze drobne śmieci. Uruchom go ponownie, wybierz kombinację opcji Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentruj wynikowy fixlog.txt.

W systemie działa adware SourceApp wsparte mega ilością sterowników (aż 24!). Akcja: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware SourceApp oraz firmowy problematyczny zbędnik ASUSa Webstorage. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {073f2b9a-2357-4614-b174-3fc1afffe941}Gw64; C:\Windows\System32\drivers\{073f2b9a-2357-4614-b174-3fc1afffe941}Gw64.sys [48784 2015-01-02] (StdLib) R1 {0fd1a45b-4ab9-492d-a4ec-94b4363a6dde}Gw64; C:\Windows\System32\drivers\{0fd1a45b-4ab9-492d-a4ec-94b4363a6dde}Gw64.sys [48784 2015-02-21] (StdLib) R1 {122141c3-e1a4-4af5-b3d7-650743f49ec0}Gw64; C:\Windows\System32\drivers\{122141c3-e1a4-4af5-b3d7-650743f49ec0}Gw64.sys [48784 2015-01-03] (StdLib) R1 {167ce4ee-11d0-42b8-9745-63dd8d0684e3}Gw64; C:\Windows\System32\drivers\{167ce4ee-11d0-42b8-9745-63dd8d0684e3}Gw64.sys [48784 2015-02-26] (StdLib) R1 {4291b504-d331-41fb-90ff-daaf14dd7f49}Gw64; C:\Windows\System32\drivers\{4291b504-d331-41fb-90ff-daaf14dd7f49}Gw64.sys [48784 2015-01-21] (StdLib) R1 {44219168-7340-43df-bbc2-89f0b26c112f}Gw64; C:\Windows\System32\drivers\{44219168-7340-43df-bbc2-89f0b26c112f}Gw64.sys [48784 2015-01-18] (StdLib) R1 {4b92b7b5-c723-48bb-89a7-6647fe734df9}Gw64; C:\Windows\System32\drivers\{4b92b7b5-c723-48bb-89a7-6647fe734df9}Gw64.sys [48784 2015-02-14] (StdLib) R1 {4f8c067a-e55a-4229-81e6-7be1491578a2}Gw64; C:\Windows\System32\drivers\{4f8c067a-e55a-4229-81e6-7be1491578a2}Gw64.sys [48784 2015-01-30] (StdLib) R1 {549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64; C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys [48784 2015-01-12] (StdLib) R1 {72074a89-563a-4402-894b-cfea7ec6858b}Gw64; C:\Windows\System32\drivers\{72074a89-563a-4402-894b-cfea7ec6858b}Gw64.sys [48784 2015-02-08] (StdLib) R1 {88dab020-0802-4f33-9294-5fccbb774bac}Gw64; C:\Windows\System32\drivers\{88dab020-0802-4f33-9294-5fccbb774bac}Gw64.sys [48784 2015-03-04] (StdLib) R1 {8dc666b5-f370-4f22-8558-6a137d48eead}Gw64; C:\Windows\System32\drivers\{8dc666b5-f370-4f22-8558-6a137d48eead}Gw64.sys [48784 2015-01-27] (StdLib) R1 {95282a5e-d707-43c0-b998-d6a934a963a8}Gw64; C:\Windows\System32\drivers\{95282a5e-d707-43c0-b998-d6a934a963a8}Gw64.sys [48784 2015-01-09] (StdLib) R1 {9a6c78f1-af36-4e4d-ba83-e044b750db48}Gw64; C:\Windows\System32\drivers\{9a6c78f1-af36-4e4d-ba83-e044b750db48}Gw64.sys [48784 2015-01-24] (StdLib) R1 {9cea9dfd-6bad-4c3a-a43b-aaaff26c8d62}Gw64; C:\Windows\System32\drivers\{9cea9dfd-6bad-4c3a-a43b-aaaff26c8d62}Gw64.sys [48784 2015-02-24] (StdLib) R1 {9e225977-4791-4356-911d-90b292281075}Gw64; C:\Windows\System32\drivers\{9e225977-4791-4356-911d-90b292281075}Gw64.sys [48784 2015-02-05] (StdLib) R1 {b40efc75-ad36-4607-9465-eb41963e9c42}Gw64; C:\Windows\System32\drivers\{b40efc75-ad36-4607-9465-eb41963e9c42}Gw64.sys [48784 2015-03-11] (StdLib) R1 {b84422ed-9d09-458b-b9c8-bb808a96177d}Gw64; C:\Windows\System32\drivers\{b84422ed-9d09-458b-b9c8-bb808a96177d}Gw64.sys [48784 2015-02-02] (StdLib) R1 {baa74904-cbb6-4a19-900b-b8cb1e551476}Gw64; C:\Windows\System32\drivers\{baa74904-cbb6-4a19-900b-b8cb1e551476}Gw64.sys [48784 2015-02-11] (StdLib) R1 {cad8ac99-1831-4a75-b758-e4235c95af75}Gw64; C:\Windows\System32\drivers\{cad8ac99-1831-4a75-b758-e4235c95af75}Gw64.sys [48784 2015-01-15] (StdLib) R1 {d9a4216a-aae1-4d14-ba35-ff234b3b627f}Gw64; C:\Windows\System32\drivers\{d9a4216a-aae1-4d14-ba35-ff234b3b627f}Gw64.sys [48784 2015-03-07] (StdLib) R1 {e9052879-c4b3-4ba3-adc5-316825a190f8}Gw64; C:\Windows\System32\drivers\{e9052879-c4b3-4ba3-adc5-316825a190f8}Gw64.sys [48784 2015-02-18] (StdLib) R1 {fc8decf5-c269-4b18-87f1-c395dfcbd88f}Gw64; C:\Windows\System32\drivers\{fc8decf5-c269-4b18-87f1-c395dfcbd88f}Gw64.sys [48784 2015-01-06] (StdLib) R1 {fd3f661e-765a-4fd3-bc9d-fa7f9541babe}Gw64; C:\Windows\System32\drivers\{fd3f661e-765a-4fd3-bc9d-fa7f9541babe}Gw64.sys [48784 2015-03-01] (StdLib) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-02] (Fuyu LIMITED) [File not signed] Task: {28BCF69A-D284-4AB7-B65C-7B63A808A88F} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86) [2015-03-06] () Task: {2CDE56AD-EBCE-4DB0-BCD5-A95B72F8D95C} - System32\Tasks\{9ECECB05-7B12-467D-BFCA-C983A5F89578} => pcalua.exe -a C:\Users\wmwb\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {453EF625-BA6E-41E2-95EB-68E7C1C82AD8} - System32\Tasks\{1A121956-4EF8-42B7-A338-89ACD3E7615C} => pcalua.exe -a E:\SCDAAutorun.exe -d E:\ Task: {67928142-79E7-4C6A-9BC8-12912DFF0118} - System32\Tasks\{923DCEE0-CFFD-4948-BA5D-7B1BBB749043} => pcalua.exe -a "D:\Gry\Tom Clancy's Splinter Cell Double Agent\SCDALauncher.exe" -d "D:\Gry\Tom Clancy's Splinter Cell Double Agent" Task: {6FFC6B60-9DE2-4CF4-93D8-9EED6E9376AE} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86) [2015-03-06] () Task: {8BAA89C7-DF1C-433E-92CB-C26CECC2BB31} - System32\Tasks\{43C4A4C6-A304-4DD0-A613-630DE8E8D295} => pcalua.exe -a G:\setup.exe -d G:\ Task: {C954127B-E41B-4044-AC26-856E6A5CA68F} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1420231685&from=smt&uid=ST1000LM024XHN-M101MBB_S32XJ9EF815245&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1420231685&from=smt&uid=ST1000LM024XHN-M101MBB_S32XJ9EF815245&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1420231685&from=smt&uid=ST1000LM024XHN-M101MBB_S32XJ9EF815245&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1420231685&from=smt&uid=ST1000LM024XHN-M101MBB_S32XJ9EF815245&q={searchTerms} HKU\S-1-5-21-756932068-276651508-3584652210-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-756932068-276651508-3584652210-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-756932068-276651508-3584652210-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-756932068-276651508-3584652210-1001 -> {5C352B6D-91C5-4867-9A45-3F645A2DEA91} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=731 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1420231685&from=smt&uid=ST1000LM024XHN-M101MBB_S32XJ9EF815245 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-12-26] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\SourceApp C:\ProgramData\WindowsMangerProtect C:\Users\wmwb\AppData\Roaming\sp_data.sys C:\Users\wmwb\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Windows\System32\drivers\{073f2b9a-2357-4614-b174-3fc1afffe941}Gw64.sys C:\Windows\System32\drivers\{0fd1a45b-4ab9-492d-a4ec-94b4363a6dde}Gw64.sys C:\Windows\System32\drivers\{122141c3-e1a4-4af5-b3d7-650743f49ec0}Gw64.sys C:\Windows\System32\drivers\{167ce4ee-11d0-42b8-9745-63dd8d0684e3}Gw64.sys C:\Windows\System32\drivers\{4291b504-d331-41fb-90ff-daaf14dd7f49}Gw64.sys C:\Windows\System32\drivers\{44219168-7340-43df-bbc2-89f0b26c112f}Gw64.sys C:\Windows\System32\drivers\{4b92b7b5-c723-48bb-89a7-6647fe734df9}Gw64.sys C:\Windows\System32\drivers\{4f8c067a-e55a-4229-81e6-7be1491578a2}Gw64.sys C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys C:\Windows\System32\drivers\{72074a89-563a-4402-894b-cfea7ec6858b}Gw64.sys C:\Windows\System32\drivers\{88dab020-0802-4f33-9294-5fccbb774bac}Gw64.sys C:\Windows\System32\drivers\{8dc666b5-f370-4f22-8558-6a137d48eead}Gw64.sys C:\Windows\System32\drivers\{95282a5e-d707-43c0-b998-d6a934a963a8}Gw64.sys C:\Windows\System32\drivers\{9a6c78f1-af36-4e4d-ba83-e044b750db48}Gw64.sys C:\Windows\System32\drivers\{9cea9dfd-6bad-4c3a-a43b-aaaff26c8d62}Gw64.sys C:\Windows\System32\drivers\{9e225977-4791-4356-911d-90b292281075}Gw64.sys C:\Windows\System32\drivers\{b40efc75-ad36-4607-9465-eb41963e9c42}Gw64.sys C:\Windows\System32\drivers\{b84422ed-9d09-458b-b9c8-bb808a96177d}Gw64.sys C:\Windows\System32\drivers\{baa74904-cbb6-4a19-900b-b8cb1e551476}Gw64.sys C:\Windows\System32\drivers\{cad8ac99-1831-4a75-b758-e4235c95af75}Gw64.sys C:\Windows\System32\drivers\{d9a4216a-aae1-4d14-ba35-ff234b3b627f}Gw64.sys C:\Windows\System32\drivers\{e9052879-c4b3-4ba3-adc5-316825a190f8}Gw64.sys C:\Windows\System32\drivers\{fc8decf5-c269-4b18-87f1-c395dfcbd88f}Gw64.sys C:\Windows\System32\drivers\{fd3f661e-765a-4fd3-bc9d-fa7f9541babe}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nie jest to problem infekcji. Problem ze sterownikiem Intel, dotyczy zwykle układów hybrydowych AMD-Intel. Do czytania wątki: KLIK, KLIK, KLIK. W ostatnim linku również jest "HP Pavilion dv6" oraz konkretna paczka instalacyjna. Posiadasz następujące wersje: ATI Catalyst Install Manager (HKLM\...\{9A11B072-9CE7-ABB9-2F65-EC971A7B839D}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Intel® Display Audio Driver (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.00.3074 - Intel Corporation) Pobierz ze strony Hewlett-Packard stosowną aktualizację kombinującą oba sterowniki w jednej paczce. Pomijając powyższe, długi start może być też skutkiem pobytu Kaspersky Internet Security. Komunikaty o słabej baterii to już kierunek na dział Hardware. PS. W spoilerze doczyszczanie drobnych szczątków / wpisów pustych i pozostała kosmetyka. Nie ma to żadnego związku ze zgłoszonymi problemami.

Proszę nie podbijaj tematów - ten post "przypominający" usunęłam. Odpowiadam, gdy jestem w stanie i mam czas. Mam dużo zaległości w dziale po chorobie. Nie podałeś w czym (jaka ścieżka dostępu) został wykryty tytułowy trojan. W podanych tu raportach brak oznak infekcji. Zabrakło raportu z GMER. Do wdrożenia tylko poboczne działania (usunięcie zbędników i wpisów pustych oraz czyszczenie Temp): 1. Odinstaluj firmowy "PUP" AVG Web TuneUp. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.2.0\\npsitesafety.dll No File FF Plugin HKU\S-1-5-21-949510784-225602017-567717649-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\ProgramData\Malwarebytes C:\ProgramData\Orbit C:\Users\nrk89_000\AppData\Local\Temptable.xml Folder: C:\Device Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie działa malware Win32/Ropest. Ponadto, malware wprowadziło politykę zasad IPSec, która limituje dostęp sieciowy, stąd ten problem z otwieraniem stron: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3719fcca-6f51-43ec-aad7-d335d521e49a} Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {4B03375D-113B-4166-9531-0F1184FAE644} - System32\Tasks\efsui => C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [2014-11-18] (©Wyebugur) HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\Run: [efsui] => C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [290304 2014-11-18] (©Wyebugur) HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\RunOnce: [efsui] => C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [290304 2014-11-18] (©Wyebugur) HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\Policies\Explorer: [Run] "C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe" HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\Command Processor: "C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe" HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [290304 2014-11-18] (©Wyebugur) Startup: C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\efsui.lnk C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Temp1.lnk Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych śladów "Roll Around Ads", a jeśli to zachowanie występuje tylko w Google Chrome, to prawdopodobnie jest zainfekowany któryś plik Google i trzeba przeinstalować przeglądarkę. Rozpocznij od: 1. Odinstaluj NetPanel - to nie jest powiązane z zasadniczym problem, ale to śmieć związany ze śledzeniem zachowań w internecie i ankietami. 2. W Google Chrome wyeksportuj zakładki oraz zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, w trakcie procesu zaznacz opcję Usuń także dane przeglądarki. 3. Zainstaluj najnowszą stabilną wersję: KLIK. Linki w sekcji "Aktualizacje innych programów (Adobe Flash, Java, etc.)". Przy pierwszym uruchomieniu nie zezwól na instalację sponsora Avast SafePrice. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Nie uruchamia się wcale, czy może jakiś określony błąd się pojawia? Zacznij od resetu ustawień przeglądarki: Klawisz z flagą Windows + X > Panel sterowania > Sieć i Internet > Opcje internetowe > Zaawansowane > Resetuj

Na koniec: 1. Usuń FRST z folderu C:\Users\qvvas\Desktop\Nowy folder. 2. Zastosuj też DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Proszę dostosuj się do zasad działu i dostarcz wymagane raporty: KLIK. Logi z przestarzałego OTL już nie są tu brane pod uwagę.

Foldery "System Volume Information" od Przywracania systemu są przez system tworzone na wszystkich dostępnych dyskach, w tym także i na pendrive. Folderu z pendrive raczej nie dasz rady usunąć w prosty sposób, a po usunięciu każdorazowe podpięcie pod Windows i tak będzie go tworzyć.

Przypuszczalna metoda nabycia to "Asystent pobierania" któregoś portalu: KLIK. W raportach FRST widoczne liczne szkodliwe przekierowania tego hijackera w przeglądarkach oraz protektor ustawień WindowsMangerProtect. Do sprzątania także inne rzeczy. Opisz co zrobiłaś i dostarcz nowe raporty FRST (włącznie z Addition i Shortcut). Nie mogłam zająć się tematem wcześniej, bo byłam chora. Limituję zaś ilość pomagających do osób wyszkolonych odpowiednio, by nie dopuścić do tego co się dzieje na wszystkich wiodących portalach (brak kompetencji).

Temat przenoszę do działu Software. To nie wygląda na problem infekcji. Twierdzisz wyraźnie, że robiłeś format, problemu reklam w oknach przeglądarki też nie zgłaszasz. Jedyne co tu pasuje do samoistnego inicjowania przeglądarki, to ten wpis startowy: HKU\S-1-5-21-381469732-3801222948-3591329896-1000\...\Run: [GoogleChromeAutoLaunch_BE1F6EBAA18EC437B3D3D19AFF8C38DD] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [809288 2015-03-07] (Google Inc.) Jest też ustawiona dziwna martwa strona startowa oraz adres adware istart.webssearches.com. To pewnie wynik synchronizacji z serwerem Google i ładowania z serwera poprzednich ustawień sprzed formatu. 1. Zacznij od ustawień Google Chrome: - Zresetuj synchronizację: KLIK. - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istart.webssearches.com, przestaw na "Otwórz stronę nowej karty" - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres g - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > odznacz Kontynuuj działanie aplikacji w tle po zamknięciu przeglądarki Google Chrome. 2. Start > w polu szukania wpisz msconfig > w karcie Uruchamianie odznacz GoogleChromeAutoLaunch_BE1F6EBAA18EC437B3D3D19AFF8C38DD.

Proszę umieszczaj raporty jako załączniki forum, zamiast serwisów wklejkowych. W raportach nie widzę żadnych oznak infekcji... W której przeglądarce to zjawisko ujawniło się, a może na wszystkich? Czy problem na pewno nadal występuje? Jaki model TP-Link jest używany, w jaki sposób był resetowany, czy było aktualizowane firmware? Na razie mogę zalecić tylko usuwanie wpisów szczątkowych, czyszczenie Temp oraz bufora DNS. Działania do przeprowadzenia: 1. Pierwsza sprawa to instalacja Norton Internet Security, która wygląda na uszkodzoną lub pozornie odinstalowaną. Brak wejścia programu na liście zainstalowanych, w Menedżerze urządzeń obiekty Symantec zgłaszane jako zdefektowane, a jednocześnie Norton jest uruchamiany (mnóstwo obiektów startowych). ==================== Faulty Device Manager Devices ============= Name: Symantec Iron Driver Description: Symantec Iron Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: SymIRON Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: Symantec Network Security WFP Driver Description: Symantec Network Security WFP Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: SymNetS Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: BHDrvx64 Description: BHDrvx64 Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: BHDrvx64 Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: NIS Settings Manager Description: NIS Settings Manager Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: ccSet_NIS Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Na początek spróbuj uruchomić skrót deinstalacyjny: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Internet Security\Uninstall Norton Internet Security.lnk Następnie skorzystaj z Norton Removal Tool - narzędzie zastosuj z poziomu Trybu awaryjnego Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {76A29440-6E1F-49B4-8EC1-4759BFC64110} - System32\Tasks\{4CEAADF1-61F5-4E9D-85D3-D72313130D3E} => pcalua.exe -a "E:\fifa\FIFA 14\ModdingWayInstaller.exe" -d "E:\fifa\FIFA 14" HKU\S-1-5-21-3088188526-2701845234-4171393175-1000\...\MountPoints2: {35f352f1-7270-11e4-a599-448a5ba0606d} - H:\setup.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\ProgramData\SMRResults430.dat C:\ProgramData\EmailNotifier C:\ProgramData\Microsoft\Windows\GameExplorer\{C925ED11-7102-423A-9F7E-061EFADE30C7} C:\Users\User\Programy\avast! Free Antivirus.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odpowiedz na wszystkie zadane pytania oraz potwierdź czy problem przekierowań nadal występuje.

Wszystko się zgadza, link podany celowo. Jest w nim ustęp Aktualizacje innych programów (Adobe Flash, Java, etc.). Tam są linki pobierania Google Chrome, wersja 32-bit lub 64-bit. Zainstaluj przeglądarkę, zaimportuj zakładki, zrób nowy log FRST (bez Addition i Shortcut) - ma potwierdzić, że po reinstalacji nic się nie wstawiło np. z serwera Google.

Były tu liczne manipulacje, użyte wiele skanerów, nie wiadomo co usuwałeś wcześniej. Obecnie widzę w formie czynnej: modyfikację łańcucha Winsock, tzn. wpięcie niepożądanej biblioteki BDL.dll, oraz dwa mocno podejrzane rozszerzenia w Google Chrome. Nie jest jednak wykluczone, lecz nie da się tego sprawdzić na podstawie raportów, że jest tu także zaszyta w którymś legalnym pliku Chrome injekcja adware, co wymagałoby reinstalacji przeglądarki. Działania wstępne: 1. Odinstaluj Doctor PC oraz stare niebezpieczne wersje Java™ 6 Update 20, Java™ 6 Update 22, Java™ 6 Update 24 (64-bit), Java™ 6 Update 24. Należy też pozbyć się starych pakietów LibreOffice 3.6, OpenOffice.org 3.3 korzystających z tych archaicznych Java. Na końcu zainstalujesz najnowsze wersje wszystkiego. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4264836577-1841705606-3099376491-1002\...\Run: [GoogleChromeAutoLaunch_98F6F8547EC45F51F9B053BC2DDC88CD] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window Startup: C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {57F3414F-A3F4-47BC-9E02-CFED6DEE6745} - System32\Tasks\{D8511311-9911-45EB-8BC8-35C5F6353A2B} => pcalua.exe -a C:\Users\Jkrasnodebski\Downloads\bal1210001pl(2).exe -d C:\Users\Jkrasnodebski\Downloads Task: {5D154997-90B1-4DEC-9F2A-3B111AC48E1B} - System32\Tasks\{AA754580-0036-4C9F-A5E9-E9D346A6B003} => Iexplore.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {CA49D10C-0683-44D1-8ED5-F270248EA85C} - System32\Tasks\{DA280297-B5F1-4DF2-8314-B950DF687DC0} => C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe Task: {EB1648A1-2873-43BA-9831-A0118DF9EF60} - System32\Tasks\{9BD0AECA-7611-46B9-8266-91A41F13FE51} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=1601 Task: {F5EDD15B-3F9F-47FD-B315-A8A8F2A4D984} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" R3 cleanhlp; C:\EEK\bin\cleanhlp64.sys [57024 2015-03-16] (Emsisoft GmbH) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-03-16] () S3 cpuz134; \??\C:\Users\JKRASN~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S0 TfFsMon; system32\drivers\TfFsMon.sys [X] S3 TfNetMon; \??\C:\Windows\system32\drivers\TfNetMon.sys [X] S0 TfSysMon; system32\drivers\TfSysMon.sys [X] C:\Program Files (x86)\67604178-e27a-4913-a587-b0d37a0b8c9b C:\Program Files (x86)\Avira C:\Program Files (x86)\Doctor PC C:\ProgramData\Avira C:\ProgramData\Temp C:\Users\Jkrasnodebski\setup.exe C:\Users\Jkrasnodebski\AppData\Local\CrashRpt C:\Users\Jkrasnodebski\AppData\Local\{59BF1930-F63E-470F-84C3-B0CCF5AC7B14} C:\Users\Jkrasnodebski\AppData\Local\nsoD7AB.tmp C:\Users\Jkrasnodebski\AppData\Local\PDLSetup.*.txt C:\Users\Jkrasnodebski\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Jkrasnodebski\AppData\Roaming\XREBYDPC C:\Users\Jkrasnodebski\AppData\Roaming\Doctor PC C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Jkrasnodebski\Documents\DoctorPC C:\Users\Public\Desktop\Crossbrowse.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\system32\BasementDusterOff.ini C:\Windows\System32\drivers\TrueSight.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\BasementDusterOff.ini C:\Windows\SysWOW64\BDL.dll C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Jkrasnodebski^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Air Globe oraz rozszerzenie, które albo nie ma nazwy i jest widoczne pod identyfikatorem lohbonfeioofpgpcmebnncnmiobojbgk, albo jego nazwa to Bigger Notes. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w Google Chrome.

Temat czyszczę ze zbędnej dyskusji. Logi proszę umieszczaj jako załączniki forum a nie serwisie wklejkowym. Co to za "skrypt do OTL"? Kto to polecał / montował? Kompletne bzdury - jako "skrypt OTL" wklejono log z AdwCleaner! Nic oczywiście się nie wykonało. Próbując rozwiązać problem posługiwałeś się skanerem z czarnej listy - SpyHunter. Z daleka od tego dziadostwa. Jeśli chodzi o infekcję, to tu nie pomogą żadne skany, skrypty czy inne fiksy uruchomione spod Windows. Infekcja nie jest w Windows tylko w routerze. Pierwszy adres jest szkodliwy - austriacki: Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8 Do przeprowadzenia następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony dalsze poboczne działania: 2. Przez Panel sterowania odinstaluj: stary Adobe AIR, uszkodzony Applian FLV Player oraz adware Search App by Ask, Video Converter Packages. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-03-15] () R3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {0AA18C7C-D7C0-4840-BCE9-93C5766AA5BC} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: {0EF68685-8544-4505-8F39-95C7336BD85C} - System32\Tasks\{FC8A38A7-1D09-41E3-8568-302112AEF3C8} => Iexplore.exe http://ui.skype.com/ui/0/6.1.60.129/pl/abandoninstall?page=tsBing Task: {281AEB59-D066-4D12-8056-EB6EABC2B7EB} - System32\Tasks\{FC87CAD8-7887-4240-8EF2-F69EF12FA099} => pcalua.exe -a "C:\Users\Marek\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe" -c /Uninstall /NM="VuuPC Packages" /AN="0C1I1L1R1J0M1P0I1G" /MBN="VuuPC Packages" Task: {2A29F745-B86C-43B9-9DAB-41A732965D84} - System32\Tasks\Updater26766.exe => C:\Users\Marek\AppData\Local\Updater26766\Updater26766.exe Task: {7F31B7D9-5036-4807-8BC5-F15A9328BF14} - System32\Tasks\{2CC8C255-1946-4129-9906-F2646553B758} => pcalua.exe -a "C:\Program Files (x86)\EStaff\Uninstall\SpXml.exe" Task: {84E7AC55-DF90-498F-A87F-6EF7433F5499} - System32\Tasks\4677 => Wscript.exe C:\Users\Marek\AppData\Local\Temp\launchie.vbs //B Task: {88A3A4AE-1BA7-4B7B-BAD0-AD450A78E3B7} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {B41F59A4-DEBC-46BC-9208-988246386E31} - System32\Tasks\{6B9BC0EA-6FB7-4DC4-947C-46195CB786BE} => pcalua.exe -a "c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\Silverlight.Configuration.exe" -c -uninstallApp 3457725076.portal.qtrax.com Task: {C37D6B63-467D-4B19-865D-8EFD4E34B0EC} - System32\Tasks\{7C3E2EE4-C097-4033-A809-9846061BC599} => pcalua.exe -a C:\Users\Marek\Desktop\vkaraoke.exe -d C:\Users\Marek\Desktop Task: {D0531B56-E824-4977-9FDE-95C321DAD4C2} - System32\Tasks\{0885DE04-EC57-4556-860F-E8E7701E8EC4} => pcalua.exe -a "C:\ProgramData\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.exe" -c /remove /q0 Task: {FDF00679-F413-4634-84D5-B7815D2AA1DC} - System32\Tasks\0 => Iexplore.exe GroupPolicyUsers\S-1-5-21-1229153242-3201741155-1693493588-1004\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-1229153242-3201741155-1693493588-1001\User: Group Policy restriction detected HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Run: [KiesPDLR.exe] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [DisallowRun] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=20.4.0.40 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> {1838EEB7-D790-4C38-977B-7610FC411ABC} URL = CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki", "hxxp://pl.msn.com/?pc=UP97&ocid=UP97DHP" C:\sh4ldr C:\ProgramData\Ashampoo\YourDeals.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Applian FLV Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Your Software Deals.lnk C:\Users\Marek\AppData\Roaming\Enigma Software Group C:\Users\Marek\Downloads\Install Flash_10924_i43986853_il345.exe C:\Users\Marek\Start Menu\Programs\SpyHunter C:\Users\Marek\Stary Laptop\LAPTOP\pulpit\pulpit\Mozilla Firefox.lnk C:\Users\Public\Desktop\Applian FLV Player.lnk C:\Windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Clients\StartMenuInternet\OperaMail /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.