picasso

Tak, to już wszystko. Temat rozwiązany, zamykam. I dzięki za ewentualne wsparcie!

1. Proponuję jeszcze raz zresetować cały router do ustawień fabrycznych poprzez przytrzymanie przycisku resetującego na obudowie. Zanotuj dane aktualnych połączeń, na wypadek gdyby reset usunął jakąś istotną konfigurację. Po resecie routera zaloguj się przy udziane domyślnych poświadczeń i zmień login, upewnij się też że nie zostały nigdzie podstawione fałszywe DNS, a test Orange nadal zwraca pozytywny komunikat. 2. Po resecie routera na każdym komputerze uruchom skrypt FRST czyszczący cache. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go - trzy kopie z trzech kompów. 3. Tablet i telefon muszą mieć czyszczone bufory DNS z osobna. Nie wiem co to za urządzenia, ale nie jest pewne czy udostępniają taką funkcję. W takich przypadkach robi się reset do ustawień fabrycznych.

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. Posiadasz system 64-bit, ale używasz 32-bitowej przeglądarki Firefox, więc należy pobrać Java 32-bit. Taka zresztą wersja była wcześniej w systemie. KLIK > pobierasz plik Windows Offline (32-bitowa).

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. Tak, skończyliśmy. Temat zamykam.

Fix wykonany. System tworzy automatycznie punkty w określonych przedziałach czasowych, ale ręczne czyszczenie punktów nie odpali automatycznego tworzenia nowego punktu i jeśli ma być on zrobiony konkretnie w tym czasie, to należy ręcznie go stworzyć. On i tak nie przetrwa zbyt długo, bo system czyści starsze punkty, gdy brak już miejsca na nowe.

Logi z przestarzałego OTL nie są już obowiązkowego i usuwam. Temat przenoszę do działu Windows, bo zasadniczy problem dotyczy profilu. Wprawdzie jest tu ogromna kupa śmieci adware, ale to problem podrzędny i nie będę się zajmować czyszczeniem tego kompleksowo w sytuacji, gdy nawet środowisko nie jest widziane poprawnie. To potem. Problem główny nie jest pochodną infekcji. Tu nastąpiła utrata dostępu do konta: Loaded Profiles: False (Available profiles: ) ==================== Accounts: ============================= Administrator (S-1-5-21-554914868-1295861038-1199024560-500 - Administrator - Disabled) faf (S-1-5-21-554914868-1295861038-1199024560-1004 - Administrator - Enabled) Gość (S-1-5-21-554914868-1295861038-1199024560-501 - Limited - Enabled) Application errors: ================== Error: (03/05/2015 07:18:42 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: as-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - System nie może odnaleźć określonej ścieżki. Widać tu konto "faf", gdyż FRST pobiera nazwę wewnętrzną, a nie nazwę wyświetlaną którą ktoś sobie zmienił. Konto nawet nie ma sprecyzowanej powiązanej ścieżki na dysku, nie jest w ogóle połączone z folderem C:\Users\faf. I nie wiadomo czy folder konta jest cały, bo jeśli nie, to jest to nieprawialne i nie pomoże operacja poniżej, skończy się na założeniu nowego konta. Zacznij od: 1. Potrzebne konto pośrednie do przeprowadzenia operacji. Włącz wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego tymczasowego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Połącz konto faf z folderem C:\Users\faf. 3. Zresetuj komputer. Zaloguj się na adam/faf. Jeśli logowanie nastąpi pomyślnie i nie będzie komunikatu o logowaniu via profil tymczasowy, zrób nowe raporty z FRST (wszystkie trzy). Jeśli nie nastąpi żadna zmiana, trzeba będzie konto likwidować i zakładać nowe, ale to dopiero po czyszczeniu adware.

Hitnan wykrył tylko ciasteczka. Kończymy: 1. Usuń pobrany FRST i inne narzędzia z C:\wirusy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany. Zastosuj DelFix oraz wyczyś foldery Przywracania systemu: KLIK. Moje Fixy nie miały związku z AdwCleaner. Jak napisałam, to był bug tej wersji i nowa aktualizacja bazy naprawiła feler. Przecież podałam już przyklejony, w którym są linki pobierania: KLIK.

Kończymy: 1. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\xx\Desktop\SPTDinst*.exe CMD: del /q C:\Users\xx\Desktop\ymf0bl2b.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu Windows. To nie jest problem infekcji. System może wolno działać, gdyż jest tu malutku wolnego miejsca (ale Symantec też może być dodatkową przyczyną): ==================== Drives ================================ Drive c: (systemowy) (Fixed) (Total:44.4 GB) (Free:4.43 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: () (Fixed) (Total:45.51 GB) (Free:13.85 GB) NTFS Drive g: (Dane) (Fixed) (Total:48.6 GB) (Free:4.69 GB) NTFS Drive k: (RECOVERY) (Fixed) (Total:10.53 GB) (Free:5.23 GB) NTFS Do analizy skorzystaj ze SpaceSniffer. Program wywołaj via "Uruchom jako Administrator", by obliczył np. "System Volume Information". PS. I zdaje się, że jest tu jakiś piracki modyfikowany Windows. Pomijając ślady crackowania, jest tu atypowy odczyt wersji Windows: Platform: Microsoft Windows 7 Professional Service Pack 1, v.721 (X86) OS Language: Polski (Polska) Internet Explorer Version 9 (Default browser: FF) Do wykonania drobna kosmetyka wpisów odpadkowych i czyszczenie Tempów (ta ostatnia akcja może pomóc nieco rozszerzyć ilość wolnego):

W kwestii AdwCleaner już się wypowiedziałam. Natomiast: Fix się zaciął, bo była literówka. Przerwij bieżącą operację. Zrób nowy Fixlist o postaci poniżej i uruchom w podany wcześniej sposób. Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LiveUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 7" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\emptyloopunlockercbfy" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google+ Auto Backup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp:

System nie jest zainfekowany, do wykonania będą tylko drobne działania poboczne. Natomiast pendrive owszem musi zostać wyczyszczony z infekcji i jej skutków. Infekcja ukryła dane wg tego sposobu: KLIK. Różnica tu jest taka, że prawdopodobnie zamiast spacji jest jakiś dziwny znaczek, niestety raporty USBFix są kodowane w ANSI (utrata specjalnych znaków) i widać tylko pytajnik: [28/01/2015 - 11:13:14 | SHD] - F:\? Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, AVG Security Toolbar, Bing Bar, Gadu-Gadu 10, Java 7 Update 10 (64-bit), Java 7 Update 60, Java™ 6 Update 20. 2. Zakładam, że pendrive nadal jest widziany pod literą F:. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {28D771DF-6B36-4839-9F98-04A23CF99F61} - System32\Tasks\{3FE46AD6-082F-4572-80E0-4A7E4D19687F} => pcalua.exe -a C:\Users\toshiba\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall Task: {330D66F3-936D-48B8-9867-99EC313E7C44} - System32\Tasks\{BC9BEEE6-AF0C-49A1-AA31-0F90AE61753F} => pcalua.exe -a F:\autorun.exe -d F:\ Task: {4BD7D116-00A4-4DCD-9C54-4EFC7FEA68CF} - System32\Tasks\{DB01F20B-E555-4F79-8365-5E50E1142908} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{C43C1415-3DFC-4089-9A32-0BECF28A6046}\setup.exe" -c -runfromtemp -l0x0409 Task: {7844019F-79E5-43D5-A771-410065F2B71F} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{684A7197-5460-42A7-AE8F-7B01259CB62E}.exeFacebookUpdate.exe [2014-01-29] (Facebook Inc.) Task: {B524F9AF-C696-4E2C-AB29-D9E47B34E743} - System32\Tasks\{9808A9DA-FBE8-4808-A624-E73C509FA2D9} => pcalua.exe -a "C:\Users\toshiba\Desktop\Star Wars\Patch\SWKotOR1_03.exe" -d "C:\Users\toshiba\Desktop\Star Wars\Patch" Task: {C7AD5925-5888-4702-8C9E-7E48AA8AB53A} - System32\Tasks\{DCC92792-038F-4DE9-B1F3-29D997389E87} => pcalua.exe -a C:\Users\toshiba\Downloads\GameRangerSetup.exe -d C:\Users\toshiba\Downloads Task: {D630D5C7-1260-4C3A-8594-5636820B836B} - System32\Tasks\{36176734-9DAB-48CC-A132-7C5EC8FE2D6C} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {D7F436C4-7EB9-4ACC-94AC-039E820BB26D} - System32\Tasks\{8E8C7734-E8AE-4CC6-8650-500BB5884BAC} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -c -runfromtemp -l0x0015 -removeonly Task: {DB72DEEF-9B2D-4C83-9DFB-9C074FDE0A87} - System32\Tasks\{CAD1DA82-0183-483F-BA33-9F8BD8276CF1} => pcalua.exe -a "D:\Half-life 2\Uninstal.exe" Task: {EDCF4946-66CE-4AC1-AD07-C306397AC1E2} - System32\Tasks\{8C4EC318-9327-4C70-A604-B0CE343BEEF9} => pcalua.exe -a "C:\Program Files (x86)\Steam\steam.exe" -c steam://uninstall/63710 Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{684A7197-5460-42A7-AE8F-7B01259CB62E}.exe SearchScopes: HKLM-x32 -> {2D0E38F0-F23F-46B4-A210-2017517BD604} URL = http://startsear.ch/?aff=2&src=sp&cf=a1ee511e-109f-11e2-a882-e89a8f88a207&q={searchTerms} SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> DefaultScope {12FDD30F-A064-4728-9F04-05CEB76D9437} URL = SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> {12FDD30F-A064-4728-9F04-05CEB76D9437} URL = SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> {2D0E38F0-F23F-46B4-A210-2017517BD604} URL = http://startsear.ch/?aff=2&src=sp&cf=a1ee511e-109f-11e2-a882-e89a8f88a207&q={searchTerms} SearchScopes: HKU\S-1-5-21-2097945086-3251815156-1131960430-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={FDCF3197-A20D-4FFF-A27D-1E0E6EBFED2C}&mid=773c128781014667bf7b0dcc5728d928-8d264eee1c6075b7c76ab539c471f296508062e7&lang=pl&ds=ik011&pr=&d=2012-09-25 18:15:51&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [Not Found] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF user.js: detected! => C:\Users\toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\vvdaavdv.default\user.js C:\Program Files (x86)\GUT49AC.tmp C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Users\toshiba\Downloads\Niepotwierdzony*.crdownload F:\OLIFKA (4GB).lnk F:\desktop.ini F:\autorun.inf F:\Thumbs.db CMD: attrib /d /s -r -s -h F:\* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli wsystko pójdzie dobrze, na urządzeniu powinien zostać odkryty folder o nazwie dziwnego znaku. Tam są dane. Przenieś je z tego folderu poziom wyżej, a ten dziwny folder usuń przez SHIFT+DEL (omija Kosz), o ile da się to zrobić. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Co zwraca ten test: KLIK? I widzę, że nie ma nawet nowego firmware, stare paczki z 2008 na stronie producenta: KLIK. Serwery pobrane z urządzenia są już poprawne: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Skoro nadal są przekierowania, obstawiałabym bufor DNS oraz cache przeglądarek, ale wyraźnie mówisz, że formatowałeś systemy, co usuwa oba typy cache rzecz jasna. Czyli tu pokazany system jest zaraz po formacie?

Kcurek, nie byłam w stanie zaktualizować wcześniej tematu. Długie problemy ze zdrowiem, potem nadrabianie zaległości na forum, obecnie też tonę w problemach. W miarę możliwości postaram się zaktualizować przynajmniej niektóre opisy.

Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń i dostarcz wynikowy log C:\AdwCleaner\AdwCleaner[s2].txt.

Usuwanie pomyślnie przeprowadzone. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

Brak trzeciego obowiązkowego raportu FRST Shortcut. Pro forma dołącz. W systemie nie widać żadnych oznak czynnej infekcji i aktywnych ingerencji adware. Instalowałeś wątpliwy program WinThruster - notabene AdwCleaner usuwa jego katalogi. Jaki jest powód uruchamiania AdwCleaner? Czy masz jakiś konkretny problem z adware / reklamami? I nie wiem o co chodzi w kwestii zamykania się z błędem - może któryś proces w tle koliduje. Czy w Trybie awaryjnym Windows występuje ten sam problem? EDIT: podobno jest problem z obecną wersją AdwCleaner, tzn. zamrożenie podczas skanu, i ten bug ma być rozwiązany w kolejnej wersji. Do wykonania usunięcie starszych wersji i kosmetyka (wpisy puste): 1. Przez Panel sterowania odinstaluj: Adobe Flash Player 10 ActiveX , Java 8 Update 25. Najnowszą Java uzupełnisz później: KLIK. Proponuję też pozbyć się DriverEasy 4.7.8 - takie automaty do aktualizacji sterowników mogą poczynić więcej szkód niż pożytku. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 BootRacerServ; "C:\Program Files (x86)\BootRacer\BootRacerServ.exe" [X] HKLM\...\Policies\Explorer\Run: [bootRacer] => "C:\Program Files (x86)\BootRacer\Bootrace.exe" /2 No File Task: {359625DE-A502-4BC3-8E58-BF33970AFF91} - System32\Tasks\{B01C6950-1514-47E8-A3E7-156CF4DBCB96} => C:\Users\Andrzej\Desktop\NIEUŻYWANE PLIKI PULPITU\jre-8u5-windows-i586.exe [2014-05-27] (Oracle Corporation) Task: {3849A44F-4EE9-4B6A-8762-21ED87902812} - System32\Tasks\{6A44049D-DD1F-4DD9-ACF4-62BD5EC5798F} => pcalua.exe -a "C:\Program Files (x86)\VS Revo Group\Revo Uninstaller\Revouninstaller.exe" -d "C:\Program Files (x86)\VS Revo Group\Revo Uninstaller" Task: {E63D1A93-26C1-4B4D-B244-5D1E8F44FB3B} - \01b47293-00b0-45f3-9a39-b906db4cf545-1 No Task File Task: {ECE6775A-892D-4B33-B109-B35FED4D2B6C} - \01b47293-00b0-45f3-9a39-b906db4cf545-4 No Task File SearchScopes: HKU\S-1-5-21-3522547454-1673969332-2223281254-1000 -> {7BEA8DEF-FEAD-4BE5-8B70-2D50FFA8066D} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\Program Files (x86)\WinThruster C:\ProgramData\TEMP C:\Users\Andrzej\AppData\Local\Google\Chrome C:\Users\Andrzej\AppData\Roaming\Solvusoft Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\LiveUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 7" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\emptyloopunlockercbfy" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google+ Auto Backup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Co to był za rodzaj odnośnika (dokładny URL)? W raportach nie widzę żadnych oznak infekcji. Możesz wykonać tylko kosmetyczne operacje usuwania pustych wpisów i czyszczenia Temp: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Task: {5FF2A2F8-64E9-4C0D-8489-0433B43CD4F2} - System32\Tasks\{8C65CB29-1A35-4626-9C7A-E858F28B3828} => pcalua.exe -a E:\ASIO_Driver\Setup.exe -d E:\ASIO_Driver Task: {FE8F2418-A7A2-4C6B-BAF7-75F295E8C23B} - System32\Tasks\{EA01BA79-A412-4F92-A219-6143E309F9DB} => pcalua.exe -a "D:\Riot Games\League of Legends\lol.launcher.exe" -d "D:\Riot Games\League of Legends\" HKU\S-1-5-21-2558993376-1286645175-2082976433-1001\...\Run: [DAEMON Tools Lite] => "d:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-2558993376-1286645175-2082976433-1001\...\MountPoints2: {36983537-376b-11e4-be76-448a5b9eb4c8} - "F:\Autorun.exe" FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Wszystko wykonane. Teraz: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Śladów YAC tu nie ma, więc raczej nie sądzę by to o niego chodziło. W tym przypadku ELEX.BM i ELEX.BH to były prawdopodobnie detekcje tych komponentów protekcyjnych - obie usługi są w stanie uruchomiono, mimo że brak plików (czyli usuwanie było co dopiero i bez restartu systemu): R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] Tu jest temat z tą detekcją: KLIK. C:\AdwCleaner\Quarantine\C\Program Files (x86)\XTab\ProtectService.exe.vir Win32/ELEX.BM potentially unwanted application deleted - quarantined

Tak, wszystko do wyrzucenia. Po ukończeniu tego zadania możesz jeszcze sprawdzić co powie Hitman Pro i dostarcz raport. Zapewne pokaże FRST per se jako "Suspicious files", ale to do zignorowania.

Wszystko zrobione. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brak dokładnych detali skanu ESET, ale nazwy sugerują komponenty adware/PUP. I to jest właśnie problem ogólny w Twoim systemie. Uruchomiłeś coś w rodzaju "Asystenta pobierania" i załadowałeś śmieci: KLIK. Obecnie widać liczne przekierowania key-find.com i do-search.com, oraz częściowe "usunięcie" protektorów tych przekierowań (pewnie skanerem ESET). Działania do przeprowadzenia: 1. Odinstaluj starą wersję Adobe Shockwave Player 11.6. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath S1 pfnfd_1_10_0_9; system32\drivers\pfnfd_1_10_0_9.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424459968&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms} HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512 HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms} HKU\S-1-5-21-3488178584-295264616-206212447-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms} SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1424460031&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9FC622512&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {49F1323A-CF62-4EE2-8082-99AC15605FC9} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488178584-295264616-206212447-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Program Files (x86)\XTab C:\Users\me\AppData\Roaming\Mozilla C:\Users\me\Downloads\*_Sciagnij.pl.exe C:\Windows\msdownld.tmp C:\Windows\system32\netcfg-*.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w systemie.

Wydaje się, że problemem jest ten wpis polityki: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings ProxySettingsPerUser REG_DWORD 0x0 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxySettingsPerUser /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Przedstaw fixlog.txt. Potwierdź, że w ustawieniach Opcji internetowych widzisz puste pola i brak odnośnika do proxy.pac.