picasso

Proszę nie podbijaj tematów - ten post "przypominający" usunęłam. Odpowiadam, gdy jestem w stanie i mam czas. Mam dużo zaległości w dziale po chorobie. Nie podałeś w czym (jaka ścieżka dostępu) został wykryty tytułowy trojan. W podanych tu raportach brak oznak infekcji. Zabrakło raportu z GMER. Do wdrożenia tylko poboczne działania (usunięcie zbędników i wpisów pustych oraz czyszczenie Temp): 1. Odinstaluj firmowy "PUP" AVG Web TuneUp. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.2.0\\npsitesafety.dll No File FF Plugin HKU\S-1-5-21-949510784-225602017-567717649-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] C:\ProgramData\Malwarebytes C:\ProgramData\Orbit C:\Users\nrk89_000\AppData\Local\Temptable.xml Folder: C:\Device Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie działa malware Win32/Ropest. Ponadto, malware wprowadziło politykę zasad IPSec, która limituje dostęp sieciowy, stąd ten problem z otwieraniem stron: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3719fcca-6f51-43ec-aad7-d335d521e49a} Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {4B03375D-113B-4166-9531-0F1184FAE644} - System32\Tasks\efsui => C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [2014-11-18] (©Wyebugur) HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\Run: [efsui] => C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [290304 2014-11-18] (©Wyebugur) HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\RunOnce: [efsui] => C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [290304 2014-11-18] (©Wyebugur) HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\Policies\Explorer: [Run] "C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe" HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\...\Command Processor: "C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe" HKU\S-1-5-21-4099705337-2020661889-2010485058-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate\efsui.exe [290304 2014-11-18] (©Wyebugur) Startup: C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\efsui.lnk C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Iksu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Temp1.lnk Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych śladów "Roll Around Ads", a jeśli to zachowanie występuje tylko w Google Chrome, to prawdopodobnie jest zainfekowany któryś plik Google i trzeba przeinstalować przeglądarkę. Rozpocznij od: 1. Odinstaluj NetPanel - to nie jest powiązane z zasadniczym problem, ale to śmieć związany ze śledzeniem zachowań w internecie i ankietami. 2. W Google Chrome wyeksportuj zakładki oraz zresetuj synchronizację (o ile włączona): KLIK. Następnie odinstaluj przeglądarkę, w trakcie procesu zaznacz opcję Usuń także dane przeglądarki. 3. Zainstaluj najnowszą stabilną wersję: KLIK. Linki w sekcji "Aktualizacje innych programów (Adobe Flash, Java, etc.)". Przy pierwszym uruchomieniu nie zezwól na instalację sponsora Avast SafePrice. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Nie uruchamia się wcale, czy może jakiś określony błąd się pojawia? Zacznij od resetu ustawień przeglądarki: Klawisz z flagą Windows + X > Panel sterowania > Sieć i Internet > Opcje internetowe > Zaawansowane > Resetuj

Na koniec: 1. Usuń FRST z folderu C:\Users\qvvas\Desktop\Nowy folder. 2. Zastosuj też DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Proszę dostosuj się do zasad działu i dostarcz wymagane raporty: KLIK. Logi z przestarzałego OTL już nie są tu brane pod uwagę.

Foldery "System Volume Information" od Przywracania systemu są przez system tworzone na wszystkich dostępnych dyskach, w tym także i na pendrive. Folderu z pendrive raczej nie dasz rady usunąć w prosty sposób, a po usunięciu każdorazowe podpięcie pod Windows i tak będzie go tworzyć.

Przypuszczalna metoda nabycia to "Asystent pobierania" któregoś portalu: KLIK. W raportach FRST widoczne liczne szkodliwe przekierowania tego hijackera w przeglądarkach oraz protektor ustawień WindowsMangerProtect. Do sprzątania także inne rzeczy. Opisz co zrobiłaś i dostarcz nowe raporty FRST (włącznie z Addition i Shortcut). Nie mogłam zająć się tematem wcześniej, bo byłam chora. Limituję zaś ilość pomagających do osób wyszkolonych odpowiednio, by nie dopuścić do tego co się dzieje na wszystkich wiodących portalach (brak kompetencji).

Temat przenoszę do działu Software. To nie wygląda na problem infekcji. Twierdzisz wyraźnie, że robiłeś format, problemu reklam w oknach przeglądarki też nie zgłaszasz. Jedyne co tu pasuje do samoistnego inicjowania przeglądarki, to ten wpis startowy: HKU\S-1-5-21-381469732-3801222948-3591329896-1000\...\Run: [GoogleChromeAutoLaunch_BE1F6EBAA18EC437B3D3D19AFF8C38DD] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [809288 2015-03-07] (Google Inc.) Jest też ustawiona dziwna martwa strona startowa oraz adres adware istart.webssearches.com. To pewnie wynik synchronizacji z serwerem Google i ładowania z serwera poprzednich ustawień sprzed formatu. 1. Zacznij od ustawień Google Chrome: - Zresetuj synchronizację: KLIK. - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres istart.webssearches.com, przestaw na "Otwórz stronę nowej karty" - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres g - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > odznacz Kontynuuj działanie aplikacji w tle po zamknięciu przeglądarki Google Chrome. 2. Start > w polu szukania wpisz msconfig > w karcie Uruchamianie odznacz GoogleChromeAutoLaunch_BE1F6EBAA18EC437B3D3D19AFF8C38DD.

Proszę umieszczaj raporty jako załączniki forum, zamiast serwisów wklejkowych. W raportach nie widzę żadnych oznak infekcji... W której przeglądarce to zjawisko ujawniło się, a może na wszystkich? Czy problem na pewno nadal występuje? Jaki model TP-Link jest używany, w jaki sposób był resetowany, czy było aktualizowane firmware? Na razie mogę zalecić tylko usuwanie wpisów szczątkowych, czyszczenie Temp oraz bufora DNS. Działania do przeprowadzenia: 1. Pierwsza sprawa to instalacja Norton Internet Security, która wygląda na uszkodzoną lub pozornie odinstalowaną. Brak wejścia programu na liście zainstalowanych, w Menedżerze urządzeń obiekty Symantec zgłaszane jako zdefektowane, a jednocześnie Norton jest uruchamiany (mnóstwo obiektów startowych). ==================== Faulty Device Manager Devices ============= Name: Symantec Iron Driver Description: Symantec Iron Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: SymIRON Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: Symantec Network Security WFP Driver Description: Symantec Network Security WFP Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: SymNetS Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: BHDrvx64 Description: BHDrvx64 Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: BHDrvx64 Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: NIS Settings Manager Description: NIS Settings Manager Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: ccSet_NIS Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Na początek spróbuj uruchomić skrót deinstalacyjny: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Norton Internet Security\Uninstall Norton Internet Security.lnk Następnie skorzystaj z Norton Removal Tool - narzędzie zastosuj z poziomu Trybu awaryjnego Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {76A29440-6E1F-49B4-8EC1-4759BFC64110} - System32\Tasks\{4CEAADF1-61F5-4E9D-85D3-D72313130D3E} => pcalua.exe -a "E:\fifa\FIFA 14\ModdingWayInstaller.exe" -d "E:\fifa\FIFA 14" HKU\S-1-5-21-3088188526-2701845234-4171393175-1000\...\MountPoints2: {35f352f1-7270-11e4-a599-448a5ba0606d} - H:\setup.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\ProgramData\SMRResults430.dat C:\ProgramData\EmailNotifier C:\ProgramData\Microsoft\Windows\GameExplorer\{C925ED11-7102-423A-9F7E-061EFADE30C7} C:\Users\User\Programy\avast! Free Antivirus.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Odpowiedz na wszystkie zadane pytania oraz potwierdź czy problem przekierowań nadal występuje.

Wszystko się zgadza, link podany celowo. Jest w nim ustęp Aktualizacje innych programów (Adobe Flash, Java, etc.). Tam są linki pobierania Google Chrome, wersja 32-bit lub 64-bit. Zainstaluj przeglądarkę, zaimportuj zakładki, zrób nowy log FRST (bez Addition i Shortcut) - ma potwierdzić, że po reinstalacji nic się nie wstawiło np. z serwera Google.

Były tu liczne manipulacje, użyte wiele skanerów, nie wiadomo co usuwałeś wcześniej. Obecnie widzę w formie czynnej: modyfikację łańcucha Winsock, tzn. wpięcie niepożądanej biblioteki BDL.dll, oraz dwa mocno podejrzane rozszerzenia w Google Chrome. Nie jest jednak wykluczone, lecz nie da się tego sprawdzić na podstawie raportów, że jest tu także zaszyta w którymś legalnym pliku Chrome injekcja adware, co wymagałoby reinstalacji przeglądarki. Działania wstępne: 1. Odinstaluj Doctor PC oraz stare niebezpieczne wersje Java™ 6 Update 20, Java™ 6 Update 22, Java™ 6 Update 24 (64-bit), Java™ 6 Update 24. Należy też pozbyć się starych pakietów LibreOffice 3.6, OpenOffice.org 3.3 korzystających z tych archaicznych Java. Na końcu zainstalujesz najnowsze wersje wszystkiego. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4264836577-1841705606-3099376491-1002\...\Run: [GoogleChromeAutoLaunch_98F6F8547EC45F51F9B053BC2DDC88CD] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window Startup: C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-4264836577-1841705606-3099376491-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {57F3414F-A3F4-47BC-9E02-CFED6DEE6745} - System32\Tasks\{D8511311-9911-45EB-8BC8-35C5F6353A2B} => pcalua.exe -a C:\Users\Jkrasnodebski\Downloads\bal1210001pl(2).exe -d C:\Users\Jkrasnodebski\Downloads Task: {5D154997-90B1-4DEC-9F2A-3B111AC48E1B} - System32\Tasks\{AA754580-0036-4C9F-A5E9-E9D346A6B003} => Iexplore.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {CA49D10C-0683-44D1-8ED5-F270248EA85C} - System32\Tasks\{DA280297-B5F1-4DF2-8314-B950DF687DC0} => C:\Program Files (x86)\Avira\My Avira\Avira.OE.Systray.exe Task: {EB1648A1-2873-43BA-9831-A0118DF9EF60} - System32\Tasks\{9BD0AECA-7611-46B9-8266-91A41F13FE51} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/go/help.faq.installer?LastError=1601 Task: {F5EDD15B-3F9F-47FD-B315-A8A8F2A4D984} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" R3 cleanhlp; C:\EEK\bin\cleanhlp64.sys [57024 2015-03-16] (Emsisoft GmbH) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [35064 2015-03-16] () S3 cpuz134; \??\C:\Users\JKRASN~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S0 TfFsMon; system32\drivers\TfFsMon.sys [X] S3 TfNetMon; \??\C:\Windows\system32\drivers\TfNetMon.sys [X] S0 TfSysMon; system32\drivers\TfSysMon.sys [X] C:\Program Files (x86)\67604178-e27a-4913-a587-b0d37a0b8c9b C:\Program Files (x86)\Avira C:\Program Files (x86)\Doctor PC C:\ProgramData\Avira C:\ProgramData\Temp C:\Users\Jkrasnodebski\setup.exe C:\Users\Jkrasnodebski\AppData\Local\CrashRpt C:\Users\Jkrasnodebski\AppData\Local\{59BF1930-F63E-470F-84C3-B0CCF5AC7B14} C:\Users\Jkrasnodebski\AppData\Local\nsoD7AB.tmp C:\Users\Jkrasnodebski\AppData\Local\PDLSetup.*.txt C:\Users\Jkrasnodebski\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Jkrasnodebski\AppData\Roaming\XREBYDPC C:\Users\Jkrasnodebski\AppData\Roaming\Doctor PC C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Users\Jkrasnodebski\Documents\DoctorPC C:\Users\Public\Desktop\Crossbrowse.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\system32\BasementDusterOff.ini C:\Windows\System32\drivers\TrueSight.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\BasementDusterOff.ini C:\Windows\SysWOW64\BDL.dll C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Jkrasnodebski^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Air Globe oraz rozszerzenie, które albo nie ma nazwy i jest widoczne pod identyfikatorem lohbonfeioofpgpcmebnncnmiobojbgk, albo jego nazwa to Bigger Notes. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Jkrasnodebski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w Google Chrome.

Temat czyszczę ze zbędnej dyskusji. Logi proszę umieszczaj jako załączniki forum a nie serwisie wklejkowym. Co to za "skrypt do OTL"? Kto to polecał / montował? Kompletne bzdury - jako "skrypt OTL" wklejono log z AdwCleaner! Nic oczywiście się nie wykonało. Próbując rozwiązać problem posługiwałeś się skanerem z czarnej listy - SpyHunter. Z daleka od tego dziadostwa. Jeśli chodzi o infekcję, to tu nie pomogą żadne skany, skrypty czy inne fiksy uruchomione spod Windows. Infekcja nie jest w Windows tylko w routerze. Pierwszy adres jest szkodliwy - austriacki: Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8 Do przeprowadzenia następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony dalsze poboczne działania: 2. Przez Panel sterowania odinstaluj: stary Adobe AIR, uszkodzony Applian FLV Player oraz adware Search App by Ask, Video Converter Packages. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-03-15] () R3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {0AA18C7C-D7C0-4840-BCE9-93C5766AA5BC} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe Task: {0EF68685-8544-4505-8F39-95C7336BD85C} - System32\Tasks\{FC8A38A7-1D09-41E3-8568-302112AEF3C8} => Iexplore.exe http://ui.skype.com/ui/0/6.1.60.129/pl/abandoninstall?page=tsBing Task: {281AEB59-D066-4D12-8056-EB6EABC2B7EB} - System32\Tasks\{FC87CAD8-7887-4240-8EF2-F69EF12FA099} => pcalua.exe -a "C:\Users\Marek\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe" -c /Uninstall /NM="VuuPC Packages" /AN="0C1I1L1R1J0M1P0I1G" /MBN="VuuPC Packages" Task: {2A29F745-B86C-43B9-9DAB-41A732965D84} - System32\Tasks\Updater26766.exe => C:\Users\Marek\AppData\Local\Updater26766\Updater26766.exe Task: {7F31B7D9-5036-4807-8BC5-F15A9328BF14} - System32\Tasks\{2CC8C255-1946-4129-9906-F2646553B758} => pcalua.exe -a "C:\Program Files (x86)\EStaff\Uninstall\SpXml.exe" Task: {84E7AC55-DF90-498F-A87F-6EF7433F5499} - System32\Tasks\4677 => Wscript.exe C:\Users\Marek\AppData\Local\Temp\launchie.vbs //B Task: {88A3A4AE-1BA7-4B7B-BAD0-AD450A78E3B7} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {B41F59A4-DEBC-46BC-9208-988246386E31} - System32\Tasks\{6B9BC0EA-6FB7-4DC4-947C-46195CB786BE} => pcalua.exe -a "c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\Silverlight.Configuration.exe" -c -uninstallApp 3457725076.portal.qtrax.com Task: {C37D6B63-467D-4B19-865D-8EFD4E34B0EC} - System32\Tasks\{7C3E2EE4-C097-4033-A809-9846061BC599} => pcalua.exe -a C:\Users\Marek\Desktop\vkaraoke.exe -d C:\Users\Marek\Desktop Task: {D0531B56-E824-4977-9FDE-95C321DAD4C2} - System32\Tasks\{0885DE04-EC57-4556-860F-E8E7701E8EC4} => pcalua.exe -a "C:\ProgramData\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.exe" -c /remove /q0 Task: {FDF00679-F413-4634-84D5-B7815D2AA1DC} - System32\Tasks\0 => Iexplore.exe GroupPolicyUsers\S-1-5-21-1229153242-3201741155-1693493588-1004\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-1229153242-3201741155-1693493588-1001\User: Group Policy restriction detected HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Run: [KiesPDLR.exe] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [DisallowRun] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=20.4.0.40 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> {1838EEB7-D790-4C38-977B-7610FC411ABC} URL = CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki", "hxxp://pl.msn.com/?pc=UP97&ocid=UP97DHP" C:\sh4ldr C:\ProgramData\Ashampoo\YourDeals.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Applian FLV Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Your Software Deals.lnk C:\Users\Marek\AppData\Roaming\Enigma Software Group C:\Users\Marek\Downloads\Install Flash_10924_i43986853_il345.exe C:\Users\Marek\Start Menu\Programs\SpyHunter C:\Users\Marek\Stary Laptop\LAPTOP\pulpit\pulpit\Mozilla Firefox.lnk C:\Users\Public\Desktop\Applian FLV Player.lnk C:\Windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Clients\StartMenuInternet\OperaMail /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Problem braku sieci to skutek niepoprawej próby usunięcia "YouTube Accelerator" - usunięto z dysku plik, który był wpięty w łańcuch Winsock. Skutki: uszkodzony Winsock. Winsock: Catalog9 01 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 02 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 03 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 04 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 05 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 06 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 07 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 08 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 09 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 10 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 11 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 23 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-12] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-12] (globalUpdate) [File not signed] R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 SPDRIVER_1501.0.0.0; C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.sys [52584 2015-02-27] () R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2015-02-12] (GOOBZO) R4 GUBootStartup; \??\C:\Windows\System32\drivers\GUBootStartup.sys [X] Task: {00CE9143-56D6-46B6-B278-326111FC439D} - System32\Tasks\{23D1FE0F-AE38-44F6-A780-E3303909F8D8} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {0B838895-1D6F-4511-B1F4-5D4474D121CB} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-11 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-11.exe Task: {223B3252-6AF4-4E39-ACF7-77053C953383} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-12] (globalUpdate) Task: {2B568104-4279-4435-AA08-503C122C8214} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-12] (globalUpdate) Task: {37D497B3-D19A-4515-8EB5-DC4377FAD64B} - System32\Tasks\UNELEVATE_9778 => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [2015-02-27] () Task: {45DF4740-6125-426B-B23F-7581CFB9614A} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11.exe Task: {46CAFD29-FA9D-48A2-A18B-D2F88E811924} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-7 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-7.exe Task: {55DE4861-669E-4FFD-A7D3-DD3951998893} - System32\Tasks\SPBIW_UpdateTask_Time_313731313739363233342d5a556c6c4a5a575750414134 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {57C2F0A6-0744-40C1-AE6E-733772E35359} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7.exe Task: {5B830A62-16C5-486D-94C5-1C008F2BC1AB} - System32\Tasks\YTAUpdate_logon => C:\Program Task: {68150F0D-870C-47D3-890F-B7F8D1352D73} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2015-02-27] (Goobzo LTD) Task: {6A8F3860-D66A-4541-8619-A57084BC5DF1} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe Task: {6E769582-34F0-4698-B866-36E37A737A6F} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6.exe Task: {83E44F6A-C74D-4C2A-A286-3FA2A55A1168} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-6 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-6.exe Task: {8A07C8A2-9742-43E6-9269-6CCF19D695DA} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [2015-02-27] () Task: {9E8FB32B-F1CA-4ADE-9C62-4D3F3B4262A7} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4.exe Task: {A03FC3A9-DA31-4784-BD39-AEEB5FD60AAC} - System32\Tasks\ZJDZSSU => C:\Users\Samsung\AppData\Roaming\ZJDZSSU.exe Task: {ABEAEE0A-B7CC-4708-86BD-B0D224FA8209} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2015-02-27] (Goobzo) Task: {B4EA139B-26EB-478C-8E4B-A3C76F134284} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-4 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-4.exe Task: {BD03365C-603B-48D9-A675-2431A91671C6} - System32\Tasks\YTAUpdate => C:\Program Task: {BE678C65-FC21-4EC6-BCBE-4DD3B6AF1687} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: {C4D9EBBF-BB31-4601-A1A9-91C4EF42CACF} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5_user => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: {EDFFD5AF-E6C8-4900-8A77-26958362A137} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6.exe Task: {F3DCF8B0-9BAB-4785-B367-F14998C3DA79} - System32\Tasks\LGXGTRI => C:\Users\Samsung\AppData\Roaming\LGXGTRI.exe Task: {F68262FE-440E-4CF0-B86C-0ED365A34DC7} - System32\Tasks\{D7351ADF-794C-4455-8AB5-217308A0C56D} => pcalua.exe -a C:\Users\Samsung\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {F8DE7E25-0E3D-419E-9019-C646535F5D5A} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-6 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-6.exe Task: {FA31A5CC-F1B9-4C85-B4DC-68D7062AC1A2} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: {FBBE12C2-1ACF-46C4-B4DF-457C2314DFD7} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5_user => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: {FDCA3B55-25B3-42F3-80B0-3C75DE967320} - System32\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-7 => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-7.exe Task: {FF690562-7F74-4F20-A975-6140B2D9A8FA} - System32\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7 => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-6.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-1-7.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-11.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-4.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5_user.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-5.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-6.exe Task: C:\Windows\Tasks\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7.job => C:\Program Files (x86)\iWebar\c21c6fb6-3e79-48f1-87c5-b8b648d5faf9-7.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-6.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-6.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-1-7.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-1-7.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-11.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-11.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-4.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-4.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-5_user.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-5.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-6.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-6.exe Task: C:\Windows\Tasks\d495a1a5-2910-4445-9452-0fa90678852b-7.job => C:\Program Files (x86)\SensePlus\d495a1a5-2910-4445-9452-0fa90678852b-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\LGXGTRI.job => C:\Users\Samsung\AppData\Roaming\LGXGTRI.exe Task: C:\Windows\Tasks\ZJDZSSU.job => C:\Users\Samsung\AppData\Roaming\ZJDZSSU.exe HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [3224576 2015-02-27] () HKU\S-1-5-21-2139329922-3582906400-648950646-1000\...\Run: [AVG-Secure-Search-Update_0614i] => C:\Users\Samsung\AppData\Roaming\Avg_Update_0614i\AVG-Secure-Search-Update_0614i.exe /PROMPT /mid=121d34194f4a47d2b2bcd16ff0331473-5b96fcc5a9e0febf72a66af30b8d73181ebf1606 /CMPID=0614i HKU\S-1-5-21-2139329922-3582906400-648950646-1000\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1501.0.0.0\jsdrv.exe [3224576 2015-02-27] () HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKU\S-1-5-21-2139329922-3582906400-648950646-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} HKU\S-1-5-21-2139329922-3582906400-648950646-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ HKU\S-1-5-21-2139329922-3582906400-648950646-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&ts=1423739948&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&ts=1423739948&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-2139329922-3582906400-648950646-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ&ts=1423739948&type=default&q={searchTerms} BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll [2015-02-27] (Goobzo Ltd.) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-01-16] (Thinknice Co. Limited) BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll [2015-02-27] (Goobzo Ltd.) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Samsung\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-01-11] () BHO-x32: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1423739800&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-02-12] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-02-12] (globalUpdate) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Samsung\AppData\Roaming\Mozilla\Firefox\Profiles\q994nzu3.default\extensions\fftoolbar2014@etech.com CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hppp&ts=1423739854&from=smt&uid=ST160LT015-1AE141_W1901JXJXXXXW1901JXJ" CHR DefaultSearchKeyword: Default -> mystartsearch C:\Program Files (x86)\23af37cf-7ebb-43b3-abee-ab37a958f983 C:\Program Files (x86)\35337f0e-62ee-49a9-9540-47759e3302f2 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\iWebar C:\Program Files (x86)\SensePlus C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\XTab C:\Program Files (x86)\YTAHelper C:\Program Files (x86)\YouTube Accelerator C:\Program Files\Common Files\ShopperPro C:\ProgramData\Avg_Update_0215tb C:\ProgramData\ShopperPro C:\ProgramData\TEMP C:\ProgramData\YTAHelper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts Inc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Samsung\AppData\Local\PriceFountain C:\Users\Samsung\AppData\Roaming\LGXGTRI C:\Users\Samsung\AppData\Roaming\ZJDZSSU C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\YouTube Accelerator" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. W Operze: na liście Rozszerzeń odmontuj adware iWebar, SensePlus. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Jest tu ogromna ilość instalacji adware. Rozpoczniemy od deinstalacji, potem będą poprawki. Akcje wstępne: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: Advanced System Protector, Amazon Browser Bar, Amazon Browser Settings, AnyProtect, BlockAndSurf, Context2pro, fst_it_148, fst_it_84, iLivid, iRobinHood Partners Addon, KingBrowse, Lollipop, Movie Mode, Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), MyPC Backup, Mysearchdial, PC Speed Maximizer v3.2, Plus-HD-9.1, Pokki, PricePeep, RegClean Pro, Rising Cities, SaveSense, SaveSense (remove only), Search Protect, Softonic toolbar on IE and Chrome, SoftwareUpdater, Torch, VO Package, WPM17.8.0.3442. - Stare wersje: Adobe Reader X (10.1.0) - Italiano, Java 7 Update 51. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut.

Jest tu o wiele więcej instalacji adware. Poza tym, jest tu wiele kont i mam silne wątpliwości na którym był reset Google Chrome. Działania do wykonania: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: BetterPRicECheC, GetDiscountApp, GGOsiavenowe, GS_Sustainer 1.80, LuuckyCOuppON, NexetCoup, Tiny Download Manager (remove only). - Stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 8 Update 25, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {825c5be7-672f-4c14-9929-48a3a5e1a660}w64; C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}w64.sys [44736 2014-09-16] (StdLib) R1 {8aa67d0b-c01c-4d37-acff-fff3e85a7686}w64; C:\Windows\System32\drivers\{8aa67d0b-c01c-4d37-acff-fff3e85a7686}w64.sys [48832 2014-11-27] (StdLib) R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys [61120 2014-05-22] (StdLib) R1 {e4c6b00c-d06e-4877-9f09-d92a224047b5}w64; C:\Windows\System32\drivers\{e4c6b00c-d06e-4877-9f09-d92a224047b5}w64.sys [48832 2014-11-29] (StdLib) R1 {eb5ff5f5-0862-4d0e-b77f-65f32d94e6ab}w64; C:\Windows\System32\drivers\{eb5ff5f5-0862-4d0e-b77f-65f32d94e6ab}w64.sys [48832 2014-11-28] (StdLib) R2 BackupStack; C:\Program Files (x86)\MyPC Backup\BackupStack.exe [36936 2014-09-18] (Just Develop It) R2 MaintainerSvc3.36.5835263; C:\ProgramData\253696b0-e9b9-4e71-87e6-dd3f97c02b2a\maintainer.exe [123680 2015-03-09] () R2 Update Rock Turner; C:\Program Files (x86)\Rock Turner\updateRockTurner.exe [414496 2015-03-09] () R2 Util Rock Turner; C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe [414496 2015-03-09] () S2 4d349a54; "C:\Windows\system32\rundll32.exe" "c:\progra~2\gs_boo~1\AssistantSvc.dll",service S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] Task: {3FC5BF0E-BEA0-4E80-B3AE-5F119EDFD676} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {5354A3F1-15BC-4211-9FE3-859E1B241B78} - System32\Tasks\PennyBee => C:\Users\adrian\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE Task: {751AF918-0C37-4F68-8D3B-F04952019101} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {8C8A77AB-CE33-4AC3-B660-6893BE90088D} - System32\Tasks\{93CA2A29-2E54-449C-873E-2E933F16AF85} => C:\Users\Dawid\Desktop\KN Launcher.exe Task: {AD099B6B-1D6F-4B2D-AB88-7418521D9846} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe Task: {E1D9682E-4CDD-4ABD-9CE5-E2AFE59783A7} - System32\Tasks\{084981AD-B84C-451A-BFE3-7E236ADB5347} => C:\Users\adrian\Desktop\jxpiinstall.exe Task: {E7D3CF05-20C4-4FF5-91A3-C09147D5BB9C} - System32\Tasks\{C0E4C093-96E9-43CA-8E3A-DD35C57F55D5} => C:\Users\adrian\Desktop\Java-SE(13186)-dp.exe Task: C:\Windows\Tasks\PennyBee.job => C:\Users\adrian\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE AppInit_DLLs-x32: c:\progra~2\gs_boo~1\assist~1.dll => "c:\progra~2\gs_boo~1\assist~1.dll" File Not Found Startup: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_9c463e7f-5d65-4289-b233-694661020215" ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE ShortcutWithArgument: C:\Users\Dawid\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} HKU\S-1-5-21-1699041526-1260768229-1946834793-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE HKU\S-1-5-21-1699041526-1260768229-1946834793-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://rts.dsrlte.com?affID=na http://www.search.ask.com/?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&trgb=CR&p2=^BED^OSJ000^YY^PL&gct=hp&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_38.0.2125.111&apn_uid=EBC246C1-4F1E-43C9-9FF0-A37F0A56880A&itbv=12.18.0.81&doi=2014-10-31&psv=&pt=tb SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE&q={searchTerms} SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {5025A078-BCE7-40BD-A9E7-1C00FDC5DDFA} URL = http://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11467&pf=V7&p2=^BED^OSJ000^YY^PL&gct=&itbv=12.18.0.81&apn_uid=EBC246C1-4F1E-43C9-9FF0-A37F0A56880A&apn_ptnrs=BED&apn_dtid=^OSJ000^YY^PL&apn_dbr=cr_38.0.2125.111&doi=2014-10-31&trgb=CR&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-1699041526-1260768229-1946834793-1001 -> {F6D549FA-E52C-4BAA-8130-3E0C8CEA0C90} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=498 BHO: LuuckyCOuppON -> {34085CC6-3EF0-9AD2-7920-DA2AFF3FC4BB} -> C:\ProgramData\LuuckyCOuppON\JD.x64.dll [2014-09-08] () BHO: BetterPRicECheC -> {6E6B5A77-BBD0-D26F-B20E-1A27B5E45576} -> C:\ProgramData\BetterPRicECheC\Xue9cw.x64.dll [2014-09-05] () BHO: WowCooupoon -> {9BD49075-9368-A83F-0BD5-99EE911C9464} -> C:\ProgramData\WowCooupoon\sYIIUFjxO.x64.dll [2014-08-10] () BHO-x32: LuuckyCOuppON -> {34085CC6-3EF0-9AD2-7920-DA2AFF3FC4BB} -> C:\ProgramData\LuuckyCOuppON\JD.dll [2014-09-08] () BHO-x32: Rock Turner 1.0.0.7 -> {527b365c-1bd3-4a66-906f-8729805ce78c} -> C:\Program Files (x86)\Rock Turner\RockTurnerBHO.dll [2015-01-27] (Rock Turner) BHO-x32: BetterPRicECheC -> {6E6B5A77-BBD0-D26F-B20E-1A27B5E45576} -> C:\ProgramData\BetterPRicECheC\Xue9cw.dll [2014-09-05] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1410268049&from=wpc&uid=MaxtorX6E030L0_E12HLVDE C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\Rock Turner C:\ProgramData\253696b0-e9b9-4e71-87e6-dd3f97c02b2a C:\ProgramData\BetterPRicECheC C:\ProgramData\LuuckyCOuppON C:\ProgramData\TEMP C:\ProgramData\WowCooupoon C:\Users\adrian\AppData\Local\Gameo C:\Users\adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo.lnk C:\Users\adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gameo C:\Users\adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Play OGame.lnk C:\Users\adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Shiginima Launcher SE v1.lnk C:\Users\adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play OGame.lnk C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}w64.sys C:\Windows\System32\drivers\{8aa67d0b-c01c-4d37-acff-fff3e85a7686}w64.sys C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys C:\Windows\System32\drivers\{e4c6b00c-d06e-4877-9f09-d92a224047b5}w64.sys C:\Windows\System32\drivers\{eb5ff5f5-0862-4d0e-b77f-65f32d94e6ab}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome (na koncie Dawid): Ustawienia > karta Rozszerzenia > odinstaluj MSN Homepage & Bing Search Engine, Rock Turner. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są trzy konta: ==================== Accounts: ============================= adrian (S-1-5-21-1699041526-1260768229-1946834793-1003 - Limited - Enabled) => C:\Users\adrian Damian (S-1-5-21-1699041526-1260768229-1946834793-1004 - Administrator - Enabled) => C:\Users\Damian Dawid (S-1-5-21-1699041526-1260768229-1946834793-1001 - Administrator - Enabled) => C:\Users\Dawid Zostały dostarczone logi z konta Dawid, a należy dostarczyć z wszystkich kont, m.in. po to, by był widziany poprawny kontekst przeglądarek. Zaloguj się po kolei na każde poprzez pełny restart systemu (a nie opcje Wyloguj czy Przełącz użytkownika) i na każdym zrób nowe logi FRST z opcji Scan (zaznaczone pole Addition, ale nie Shortcut). Na koncie limitowanym adrian FRST należy uruchomić przez dwuklik, a nie "Uruchom jako Administrator" (to sfałszuje kontekst konta). Dołącz też plik fixlog.txt.

Ten błąd PowerDVD nie wygląda na pochodną infekcji. Infekcje zostały już pomyślnie usunięte i teraz to tylko działania kosmetyczne. 1. Obejście błędu startowego: Start > Uruchom > msconfig i w karcie Uruchamianie odznacz wpis PowerDVD14Agent. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu G:\AdwCleaner.

Z tego zestawu tylko "Search Protect" jest instalacją adware, a jego źródłem był albo uTorrent (ten program od dawna ładuje adware), albo pośredni instalator typu "Asystent pobierania": KLIK. Natomiast Apple Application Support, Apple Software Update, Apple Mobile Device Support oraz Bonjour to typowe składniki paczek Apple typu iTunes - to nie są szkodniki, co najwyżej można je sklasyfikować jako "zbędne" w określonych scenariuszach. W raportach nie widać żadnych oznak ingerencji adware i nie mam się czym zajmować. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj produkty Adobe: KLIK.

1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Reader 9.1 MUI, ASUS WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-16] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-12] (SysTool PasSame LIMITED) S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1423735065&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&q={searchTerms} SearchScopes: HKU\S-1-5-21-2304537269-2391276559-412557570-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP&ts=1423735149&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423735133&from=cor&uid=ST9320325AS_5VD3QDGPXXXX5VD3QDGP" FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\ZST2\AppData\Roaming\Mozilla\Firefox\Profiles\rnjoc2g5.default-1394660289860\extensions\fftoolbar2014@etech.com Task: {89D35390-E23B-4F9A-87B4-2FE814087571} - System32\Tasks\{DF4D094B-0912-448A-B8FE-49BF8AC1166A} => pcalua.exe -a "C:\Program Files (x86)\HDvid Codec V6.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {B0ED85DC-C320-46DD-B868-86E87DBB3612} - System32\Tasks\{EEEF41B2-B597-4575-8C03-5BE3F67C0C49} => pcalua.exe -a "D:\Downloads\sonicstage [1].exe" -d D:\Downloads HKU\S-1-5-21-2304537269-2391276559-412557570-1000\...\MountPoints2: {9dc4f8c3-95cc-11e4-848e-485b395ba884} - F:\_AUTORUN\AUTORUN.EXE HKU\S-1-5-21-2304537269-2391276559-412557570-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> none ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\XTab C:\ProgramData\{*}.log C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\Users\ZST2\AppData\Local\{976222BF-FF50-4DE1-95D6-C4AC44D37A0A} C:\Users\ZST2\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\ZST2\AppData\Roaming\key-find C:\Users\ZST2\AppData\Roaming\Microsoft\Excel\wersja%20pierwsza%20Zestawienie%20uczestników%20pr304177612576894628\wersja%20pierwsza%20Zestawienie%20uczestników%20projektu222.xls.lnk C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS WebStorage" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze gdzieś widoczne problemy.

Błąd twoprzą obiekty "SMupdate" wstawione do Harmonogramu zadań przez adware. Działania do przeprowadzenia: 1. Odinstaluj zbędny AVG Web TuneUp. O ile to ożliwe, bo widać śladuy użycia AdwCleaner, który uszakadza tę instalację uniewmożliwiając poprawne usunięcie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {055378E5-2F0E-45CB-9151-639BF513EAC8} - System32\Tasks\{11976E8C-FC32-4DF2-A245-9A4714BC3603} => E:\Gw2Setup.exe Task: {23344DB2-5A38-449E-8ECD-0AF673FFBD56} - System32\Tasks\{9C9CD549-DEC2-4500-9F39-F8C43BCDFB95} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {3BEC8210-8A2C-4DD5-A840-0D756DBA22C2} - System32\Tasks\{58DBCEFA-5789-442D-8446-B347E47C1133} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {3F31E3C4-E941-438C-BE3A-8922BD097E3B} - System32\Tasks\{C485A807-6455-4D0F-ACC9-BB89AEB6B9E2} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {69040DA2-D920-49C3-866F-3475AB07072A} - System32\Tasks\{10A36C0F-E09A-4E70-AC98-24B3E788D9E8} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3.exe Task: {8ED26585-F8CC-4BC9-BEE0-5289A3640B87} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {B8531187-1D58-4421-8AB4-B7E86BC836A6} - System32\Tasks\{7DD20F97-2663-47AE-AAC5-136DA2D3553A} => pcalua.exe -a C:\Users\akarideah\Desktop\epson374730eu.exe -d C:\Users\akarideah\Desktop Task: {CBAABF7B-3544-4B6A-859B-C93EAD63D174} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {CCC333B0-F7FE-4D57-8667-ECCC9783CCAB} - \Sense-chromeinstaller No Task File Task: {CE221E00-A0B1-40E2-AFC8-2C7F72B6C727} - System32\Tasks\{E535B474-E802-4277-9A11-4653E17D9D9E} => C:\Program Files (x86)\Electronic Arts\The Sims 3\Game\Bin\TS3W.exe Task: {DA1EB611-5303-4B46-BFEC-34BCAE598F77} - System32\Tasks\{AD83F704-A2CB-46FE-AB33-5D3791E6C206} => pcalua.exe -a C:\Users\akarideah\Downloads\ID3BTH25WW5.exe -d C:\Users\akarideah\Downloads Task: {DB1D035C-AEDE-4B8F-8106-F228132BAA51} - \iWebar-chromeinstaller No Task File Task: {EC112D97-AD95-4A3A-B412-71F36D52F3B8} - System32\Tasks\{4F6CDD9A-5A3A-4F07-BBB2-73B76081A370} => pcalua.exe -a C:\Users\akarideah\Downloads\BluetoothDriverInstaller.exe -d C:\Users\akarideah\Downloads Task: {F5688F47-E948-421A-A38C-F5E4F495C4CE} - System32\Tasks\{C3A216F4-836C-4B16-9EC8-2B8FDBA8B00D} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Task: {F7236879-517C-4599-A87E-3E365CE6D3CD} - \Sense-firefoxinstaller No Task File HKLM-x32\...\Run: [fst_pl_49] => [X] GroupPolicy: Group Policy on Chrome detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-4172532052-3313334339-3754969203-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={6731300C-B94F-49B2-94E3-78C0C8538A32}&mid=792379c4a21547d2bce4b95e6f048170-32fc416bbae7cfe3d0d6429cdb379f45d45fd5d1&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215av&pr=fr&d=2014-08-29 21:56:59&v=4.1.0.411&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-4172532052-3313334339-3754969203-1001 -> {9839B5C2-4317-47DB-ADA3-7D5D20FE47CF} URL = http://www.idg.pl?q={searchTerms} C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\ProgramData\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy raporty. Dołącz też plik fixlog.txt.

Problem tworzą zadania "SMupdate" w Harmonogramie wprowadzone przez adware/PUP. Wykonaj następujące działania: 1. Odinstaluj FreeRide Games - przypuszczalnie instalacja niepożądana. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1A3D8FAB-1960-43F3-8897-8C22631B57B9} - System32\Tasks\{CEBB2555-A2C0-4B49-B05B-43D2C3884079} => pcalua.exe -a C:\windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_215_pepper.exe -c -maintain pepperplugin Task: {2BF06457-8618-4A0D-9328-6599FA37FAC8} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {484B302C-3DA2-4B67-911B-AB57372F64B9} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {8945D11A-022D-4CA9-8966-C3F303FB7FE9} - System32\Tasks\{B285C06A-2483-4A92-B6E8-7D5DE96BB865} => pcalua.exe -a "C:\Program Files (x86)\YTDownloader\YTDUninstall.exe" Task: {BBEEED3E-448D-4FB8-9839-D36DBE0543A5} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {EA0A7552-0600-4051-8807-B84784C1872A} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1930146046-466709810-403476640-1001\...\Run: [ViStart] => C:\Users\lenovo\AppData\Roaming\ViStart\ViStart.exe HKU\S-1-5-21-1930146046-466709810-403476640-1001\...\Run: [NukeMetro] => "C:\Users\lenovo\AppData\Roaming\ViStart\ViStart.exe" /nuke_metro HKU\S-1-5-21-1930146046-466709810-403476640-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot BootExecute: ampa HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140617 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140617 HKU\S-1-5-21-1930146046-466709810-403476640-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=180&d=20140617 SearchScopes: HKU\S-1-5-21-1930146046-466709810-403476640-1001 -> DefaultScope {772EDB4B-BC96-4B94-994A-BD90363AA1FD} URL = SearchScopes: HKU\S-1-5-21-1930146046-466709810-403476640-1001 -> {772EDB4B-BC96-4B94-994A-BD90363AA1FD} URL = BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File DPF: HKLM-x32 {4FF78044-96B4-4312-A5B7-FDA3CB328095} C:\Program Files (x86)\FreeRide Games C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\klcp_update_1030_20140206.lnk C:\Users\lenovo\Downloads\EDA1.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Greener Web" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Log wskazuje infekcję routera: Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8 Objaśnij co to znaczy "dns z pliku są już inne." Czy masz na myśli, że DNS przedstawione przez FRST są nieaktualne i na routerze już skorygowane? Czy na pewno w ustawieniach routera nie widnieje podany tu IP?

Prócz adware, jest tu też problem z przeinwestowaną instalacją antywirusów, działają wspólnie Avast z kombajnem Norton Internet Security. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: MediaCaster by Ask, Strong Signal - Stare wersje i zbędniki: Java™ 6 Update 22, Norton Anti-Theft, Norton Internet Security, Pokki + Toshiba Start (te dwa ostatnie to jedna grupa, instalacje Pokki są wątpliwe). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Adobe ARM] => "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe HKLM-x32\...\Run: [AdobeCS6ServiceManager] => "C:\Program Files (x86)\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe" -launchedbylogin HKU\S-1-5-21-2288049013-2600891643-1799988753-1001\...\MountPoints2: {98d0edd4-ebe7-11e3-be80-089e01d65c7a} - "F:\SISetup.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-2288049013-2600891643-1799988753-1001 -> DefaultScope {96739A43-7650-4A4A-A661-21E3DBE0B8E3} URL = SearchScopes: HKU\S-1-5-21-2288049013-2600891643-1799988753-1001 -> {96739A43-7650-4A4A-A661-21E3DBE0B8E3} URL = CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-02-27] CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - https://clients2.google.com/service/update2/crx S3 SwitchBoard; "C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Program Files (x86)\AskPartnerNetwork C:\Program Files (x86)\GUM84E6.tmp C:\Program Files (x86)\Strong Signal C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice, Norton Identity Safe, Norton Security Toolbar, Strong Signal (o ile nadal będą po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam ustąpił.

Brakuje trzeciego pliku FRST Shortcut. Istotnie, w systemie była jakaś infekcja, która wprowadziła polityki blokujące oprogramowanie antywirusowe. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki firmowe: Acrobat.com, Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader 9.5.5 MUI, ASUS WebStorage, Google Toolbar for Internet Explorer, Java 7 Update 25 (64-bit), Java 8 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVG HKU\S-1-5-21-2746509231-2792367075-765808972-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart (the data entry has 65 more characters). HKU\S-1-5-21-2746509231-2792367075-765808972-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_246_ActiveX.exe -update activex HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKU\S-1-5-21-2746509231-2792367075-765808972-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5EPL&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5EPL&apn_dbr=ie_9.0.8112.16476&apn_uid=F292F13A-4B46-426D-9DBD-5211A1E4C9C7&itbv=12.18.0.82&doi=2014-10-20&psv=&pt=tb SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> DefaultScope {064A3D97-069C-4A0E-B05E-5628AE78BDD1} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=F292F13A-4B46-426D-9DBD-5211A1E4C9C7&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2014-10-20&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {064A3D97-069C-4A0E-B05E-5628AE78BDD1} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=F292F13A-4B46-426D-9DBD-5211A1E4C9C7&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2014-10-20&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2746509231-2792367075-765808972-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CHR HomePage: Default -> hxxp://www.buenosearch.com/?babsrc=HP_ss&mntrId=4C221A4BD69141B5&affID=128166&tsp=5102 CHR HKU\S-1-5-21-2746509231-2792367075-765808972-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\KARINA~1\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [289256 2014-04-09] (McAfee, Inc.) U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {47C350A7-53BB-4A1D-92BB-4126B8407F23} - \Program aktualizacji online firmy Adobe. No Task File Task: {8BA13079-0336-403A-B9BA-D8282C2FBE8C} - \EPUpdater No Task File Task: {9ADD155F-1E7A-4BE2-9CFF-562B6F3ACDE3} - System32\Tasks\{8CD561A1-9183-4492-AD1B-D9ADEED5897A} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {CE506F2E-D591-4AE6-ADF6-E81A250281A7} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\ESTsoft\ALSong\ALSong.exe Task: {D0B30CA6-2917-4EE6-9EB0-753B21F7E956} - System32\Tasks\{5DA8167C-8EEF-4713-9064-C2D67B1B930E} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {D952F583-A987-4053-A4F5-644054DD8E49} - System32\Tasks\{9A9B58A7-CCBE-47E9-B12B-B6D9BC900422} => C:\Program Files (x86)\VSO\VSO Downloader\4\VsoDownloader.exe C:\ProgramData\{*}.log C:\ProgramData\F-Secure C:\ProgramData\Temp C:\Users\Karina B\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Karina B\AppData\Local\Google\Chrome\User Data\Default\Extensions\khcceooakamlehbimaepcldnnlnkcmfk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s "C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll" CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

AnyProtect nie figurował na liście zainstalowanych w Addition (inne jego składniki owszem były widoczne), dlatego nie został zadany do deinstalacji via Dodaj/Usuń. Za to w międzyczasie nabawiłeś się nowych pozycji adware (istartsurf). Deinstalacje sporo zlikwidowały, ale tu nie koniec prac. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt; G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys [55824 2015-03-08] (StdLib) R1 {e4db71b5-18d7-401c-9152-e63e79440e72}Gt; G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys [55824 2015-03-10] (StdLib) S2 globalUpdate; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed] S3 globalUpdatem; G:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-09] (globalUpdate) [File not signed] R1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] R4 {0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt; system32\drivers\{0ade837f-26ef-4080-95b6-a675bbebbd2b}Gt.sys [X] Task: G:\WINDOWS\Tasks\APSnotifierPP1.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\APSnotifierPP2.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\APSnotifierPP3.job => G:\Program Files\AnyProtectEx\AnyProtect.exe Task: G:\WINDOWS\Tasks\CCVL.job => G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: G:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => G:\Program Files\globalUpdate\Update\GoogleUpdate.exe HKLM\...\Run: [upfst_pl_6.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\fst_pl_6\upfst_pl_6.exe -runhelper HKLM\...\Run: [fst_pl_19] => [X] HKLM\...\Run: [fst_pl_6] => [X] HKLM\...\Run: [fst_pl_73] => [X] HKLM\...\Run: [fst_pl_99] => [X] HKLM\...\Run: [gmsd_pl_65] => [X] HKLM\...\Run: [upgmsd_pl_65.exe] => G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\gmsd_pl_65\upgmsd_pl_65.exe -runhelper HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [bearShare] => "G:\Program Files\BearShare Applications\BearShare\BearShare.exe" --lightmode HKU\S-1-5-21-1275210071-117609710-839522115-1003\...\Run: [iSUSPM] => G:\Documents and Settings\All Users\Dane aplikacji\FLEXnet\Connect\11\ISUSPM.exe -scheduler Startup: G:\Documents and Settings\Pc\Menu Start\Programy\Autostart\superpc_soft_partner.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1275210071-117609710-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} SearchScopes: HKU\S-1-5-21-1275210071-117609710-839522115-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426430494&from=face&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - G:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1425850244&from=epom2&uid=ST500DM002-1BD142_S2AH3K6EXXXXS2AH3K6E FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> G:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2015-03-09] (globalUpdate) FF HKLM\...\Firefox\Extensions: [searchengine@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\searchengine@gmail.com FF HKLM\...\Firefox\Extensions: [istart_ffnt@gmail.com] - G:\Documents and Settings\Pc\Dane aplikacji\Mozilla\Firefox\Profiles\yygpirum.default-1404846490562\extensions\istart_ffnt@gmail.com G:\Documents and Settings\All Users\Dane aplikacji\{ba121210-d50e-5ae8-ba12-21210d504843} G:\Documents and Settings\All Users\Dane aplikacji\9651896652148095366 G:\Documents and Settings\All Users\Dane aplikacji\cb595a1a00006ece G:\Documents and Settings\All Users\Dane aplikacji\fmhcfkifjpdlmcallfafjkgjemhiddnf G:\Documents and Settings\All Users\Menu Start\Programy\Catalyst Control Center G:\Documents and Settings\Pc\TempWmicBatchFile.bat G:\Documents and Settings\Pc\Dane aplikacji\CCVL.exe G:\Documents and Settings\Pc\Dane aplikacji\CCVL G:\Documents and Settings\Pc\Dane aplikacji\45443439-1425850326-4639-4637-3743FFFFFFFF G:\Documents and Settings\Pc\Dane aplikacji\AnyProtectEx G:\Documents and Settings\Pc\Dane aplikacji\ASPackage G:\Documents and Settings\Pc\Dane aplikacji\istartsurf G:\Documents and Settings\Pc\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\BearShare.lnk G:\Documents and Settings\Pc\Dane aplikacji\mystartsearch G:\Documents and Settings\Pc\Dane aplikacji\systweak G:\Documents and Settings\Pc\Menu Start\Programy\BearShare.lnk G:\Documents and Settings\Pc\Ustawienia lokalne\Temp.dat G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsb195.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsg302.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsx2C1.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\nsy16E.tmp G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\globalUpdate G:\Documents and Settings\Pc\Ustawienia lokalne\Dane aplikacji\SmartWeb G:\Program Files\globalUpdate G:\Program Files\IGS G:\Program Files\predm G:\Program Files\PriuceLesss G:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 G:\WINDOWS\system32\BasementDusterOff.ini G:\WINDOWS\system32\BDL.dll G:\WINDOWS\system32\roboot.exe G:\WINDOWS\system32\TempWmicBatchFile.bat G:\WINDOWS\System32\drivers\{d2c0ab1d-6370-4786-b3bc-16a62a2a98bb}Gt.sys G:\WINDOWS\System32\drivers\{e4db71b5-18d7-401c-9152-e63e79440e72}Gt.sys Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: G:\Documents and Settings\Pc\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "G:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy błąd startowy PowerDVD nadal występuje.