picasso

W Firefox jest korespondujące rozszerzenie adware zamontowane. Ale to nie wszystko co się tu niedobrego dzieje. Próbując rozwiązać problem adware zainstalowałeś niepożądane programy-naciągacze SpyHunter 4 + YAC (Yet Another Cleaner). YAC wykonał również liczne przkierowania typu hijack na własną podejrzaną wyszukiwarkę we wszystkich zainstalowanych przeglądarkach. Do poczytania też te wątki na temat YAC: KLIK, KLIK. Wstępne działania: 1. Przez Panel sterowania odinstaluj SpyHunter 4, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\KarmimyPL\PCAnalyzer.sys [X] Task: {214B756C-5FAE-4AF9-8CBA-77EFA027BC5C} - \Speedial No Task File Task: {393610A9-46B3-4643-ACB2-B7B086FA9F1B} - \RegClean Pro_DEFAULT No Task File Task: {46EB9739-0498-432C-AADC-807FF63D566F} - System32\Tasks\Opera scheduled Autoupdate 1405254120 => C:\Program Files (x86)\Opera\launcher.exe Task: {4DCB1DE4-1B4A-423F-A2EA-B610A0BD6AC2} - System32\Tasks\{07FAF33A-77D6-417F-BC46-524C01E77AE9} => pcalua.exe -a "C:\Users\Erni\Downloads\DirectX 9.29.1974.exe" -d C:\Users\Erni\Downloads Task: {6AB7CB66-FF63-45C7-B61A-FC0FE16A550C} - \RegClean Pro No Task File Task: {7284E983-14B1-4204-A7B6-F9035382F45E} - System32\Tasks\{7DA21BD2-5603-4E28-AD0F-B6CAF30B5C43} => pcalua.exe -a "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox\VirtualBox-4.3.20-96997-Win.exe" -d "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox" Task: {8F7677C5-5C56-4CD9-9EC2-DCF80C44E4A3} - System32\Tasks\{8FBC5879-38D2-44E8-AE37-CA136A4160EC} => pcalua.exe -a C:\Users\Erni\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=w3i -simple=1 Task: {9477188D-4782-4AA9-94F9-FE0C31E5B51A} - \RegClean Pro_UPDATES No Task File Task: {C0DB0230-3585-4743-8F23-5C38E922BBA7} - System32\Tasks\KarmimyPL => C:\Program Files (x86)\KarmimyPL\Karmimy.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2257826360-190355185-2570135872-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir= SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291 SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255 SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir= SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255 Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2257826360-190355185-2570135872-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" CHR DefaultSearchKeyword: Default -> YAC Safe Search CHR HKU\S-1-5-21-2257826360-190355185-2570135872-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - https://clients2.google.com/service/update2/crx C:\Users\Erni\AppData\Local\{051B6519-2CE0-42AE-8C49-4EB1DE7F4F18} C:\Users\Erni\AppData\Local\{919B14D4-D505-45E6-81A6-F22BF16C5CA3} C:\Users\Erni\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Erni\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Erni\Downloads\SpyHunter-Installer.exe C:\Users\Erni\Downloads\yet_another_cleaner_sk_7196755.exe C:\Windows\system32\Drivers\etc\hosts.bak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, CSS Reloader, FireFTP, Przelewy24, MEGA). 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy YAC Safe Search (search.yac.mx) i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak, widzę to adware tylko w Firefox. Reinstalacja Firefox nie pomogła zapewne dlatego, że nie zaznaczyłeś usuwania profilu z dysku. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare aplikacje i zbędniki firmowe: Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 12.0, ASUS WebStorage, MyFreeCodec, Trend Micro Titanium Internet Security. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Google\Chrome C:\Users\Karol\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Client Framework" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Internet Manager. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach widzę mocno podejrzane komponenty "InstallShield Updater" (usługa + skryptowe zadania Harmonogramu), które nie wyglądają wcale na to co nazwa sugeruje. Poza tym, jest tu jakieś proxy ustawione. W Chrome są też przy starcie otwierane dwa adresy adware. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {249C0560-71D5-4143-B9C6-E56CFE2BCFAA} - System32\Tasks\InstallShield Updater => Wscript.exe //nologo //E:jscript //B "C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini" Task: C:\Windows\Tasks\InstallShield Updater.job => Wscript.exeX//nologo //E:jscript //B C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini R2 Updater.exe; C:\Users\R\AppData\Roaming\InstallShield Updater\Updater.exe [36864 2014-12-15] (InstallShield) [File not signed] S3 GPU-Z; \??\C:\Users\R\AppData\Local\Temp\GPU-Z.sys [X] S3 t3; \SystemRoot\system32\drivers\t3.sys [X] ProxyServer: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac AutoConfigURL: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac CHR StartupUrls: Default -> "hxxp://start.qone8.com/?type=hp&ts=1382629367&from=cor&uid=HitachiXHDP725050GLA360_GEA534RJ07N65A07N65AX", "hxxp://www.nationzoom.com/?type=hp&ts=1388262092&from=ild&uid=HitachiXHTS545016B9A300_091008PB5B03QCJAJ4WGX" C:\Users\R\AppData\Roaming\InstallShield Updater Hosts: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zgłoszeń nadal występują.

Skasuj plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Logi uzupełnione, teat uporządkowałam. Domyślną przeglądarką jest Google Chrome, w raporcie nie widać nic powiązanego z "Rollaround ads" w Chrome, co oznacza, że prawdopodobnie został zmodyfikowany któryś plik Chrome i trzeba wykonać reinstalację przeglądarki. Do przeprowadzenia: 1. Reinstalacja Google Chrome. Wyeksportuj tylko zakładki, odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj ponownie przeglądarkę. Linki pobierania: KLIK. 2. Inne korekty na wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {D3FF0AE8-129E-484F-9C61-FD024131ADD3} - System32\Tasks\{9601E213-EA6E-46E1-8E3D-82F3D4B66269} => pcalua.exe -a G:\skoki2002start.exe -d G:\ HKU\S-1-5-21-2214583215-4056911293-1326149680-1001\...\MountPoints2: {72673b9b-becd-11e4-8257-a34df95628af} - "G:\skoki2002start.exe" BootExecute: autocheck autochk * bootdelete HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Common Files\3545fdfd-7099-487a-894e-64a4f67cb2e9.dll C:\Program Files (x86)\Common Files\8429ec87-392e-497c-9a20-d023bda37dcb.dll C:\Program Files\HitmanPro C:\ProgramData\HitmanPro C:\Users\Johnny\AppData\Roaming\MTVFGYSJ C:\Windows\system32\bootdelete.exe C:\Windows\system32\bootdelete.lst Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Widać uruchamiany w starcie szkodliwy plik z Temp, czynne szkodniki w Harmonogramie zadań i kilka innych śmieci. Akcje do wykonania: 1. Deinstalacje: - Odinstaluj Adobe Flash Player 16 NPAPI - kompletnie zbędny, to wersja dla produktów Mozilla, których tu brak. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątkowy wpis Skype™ 6.18 > Dalej 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {06BB3634-A0EC-4A6B-9355-BC64EC13D59F} - System32\Tasks\FEZCDC => C:\Users\Robert\AppData\Roaming\FEZCDC.exe [2015-03-01] (InstallMoonV01.03) Task: {0EA6B268-49D9-420F-A0FD-127FAB09DCF5} - System32\Tasks\WINshell Event Logging => C:\Users\Robert\AppData\Local\Temp\Dscp1.exe [2014-10-26] () Task: {0FFB18B0-E1F4-4B43-8CE6-0699C5912D3E} - System32\Tasks\WINshell Event Notification => C:\Users\Robert\AppData\Local\Temp\SBCint2.exe [2014-10-03] (Sun Micro Systems Inc.) Task: C:\Windows\Tasks\FEZCDC.job => C:\Users\Robert\AppData\Roaming\FEZCDC.exe HKLM-x32\...\Run: [CrashReportUpdater] => C:\Windows\TEMP\spdc32.exe [1468416 2015-03-01] () HKLM-x32\...\Run: [mbot_pl_181] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 NPF; system32\drivers\NPF.sys [X] S2 SkypeUpdate; "C:\Program Files (x86)\Skype\Updater\Updater.exe" [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced LAN Scanner C:\Users\Robert\AppData\Roaming\FEZCDC C:\Users\Robert\AppData\Roaming\FEZCDC.exe C:\Users\Robert\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Windows\C_G1geng.exe C:\Windows\system32\C_G1geng.exe C:\Windows\system32\certal32.exe C:\Windows\system32\Drivers\Msft_Kernel_webTinstMK_01009.Wdf Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Mozilla /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\api-an32" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Authenum" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSaver" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type "C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Brakuje obowiązkowego GMER. Dostarcz. Nie podałeś na czym polega niemożność uruchomienia wymienionych programów - jaki konkretnie błąd. Co widzę w raportach: - Brak oznak czynnej infekcji, do korekty będą tylko drobne szczątki adware i małe wpisy, ale to potem, gdyż jest bez znaczenia w kontekście sprawy. - Usługa Windows Defender jest w stanie "Uruchomiono". - Zainstalowany Kaspersky Internet Security działa w tle. - W Dzienniku zdarzeń błędy Kasperskiego związane z .NET Framework: Error: (02/28/2015 06:49:14 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: avpui.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.AccessViolationException Stos: w System.Drawing.SafeNativeMethods+Gdip.GdipCreateFontFromLogfontW(System.Runtime.InteropServices.HandleRef, System.Object, IntPtr ByRef) w System.Drawing.Font.FromLogFont(System.Object, IntPtr) w System.Drawing.Font.FromHfont(IntPtr) w System.Drawing.SystemFonts.get_DefaultFont() w System.Windows.Forms.Control.get_DefaultFont() w System.Windows.Forms.Control.get_Font() w System.Windows.Forms.Control.AssignParent(System.Windows.Forms.Control) w System.Windows.Forms.Control+ControlCollection.Add(System.Windows.Forms.Control) w System.Windows.Forms.Integration.WinFormsAdapter..ctor(System.Windows.Forms.Integration.WindowsFormsHost) w System.Windows.Forms.Integration.WindowsFormsHost..ctor() w KasperskyLab.Kis.UI.App.WarmUpWindowsFormsHost() w KasperskyLab.Kis.UI.App.OnStartup(System.Windows.StartupEventArgs) w System.Windows.Application.b__1(System.Object) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.DispatcherOperation.InvokeImpl() w System.Windows.Threading.DispatcherOperation.InvokeInSecurityContext(System.Object) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Windows.Threading.DispatcherOperation.Invoke() w System.Windows.Threading.Dispatcher.ProcessQueue() w System.Windows.Threading.Dispatcher.WndProcHook(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndWrapper.WndProc(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndSubclass.DispatcherCallbackOperation(System.Object) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.Dispatcher.LegacyInvokeImpl(System.Windows.Threading.DispatcherPriority, System.TimeSpan, System.Delegate, System.Object, Int32) w MS.Win32.HwndSubclass.SubclassWndProc(IntPtr, Int32, IntPtr, IntPtr) w MS.Win32.UnsafeNativeMethods.DispatchMessage(System.Windows.Interop.MSG ByRef) w System.Windows.Threading.Dispatcher.PushFrameImpl(System.Windows.Threading.DispatcherFrame) w System.Windows.Threading.Dispatcher.PushFrame(System.Windows.Threading.DispatcherFrame) w System.Windows.Application.RunDispatcher(System.Object) w System.Windows.Application.RunInternal(System.Windows.Window) w System.Windows.Application.Run(System.Windows.Window) w KasperskyLab.Kis.UI.EntryPoint.Start(System.Action`1, System.Collections.Generic.IEnumerable`1, System.Func`1) w KasperskyLab.Kis.UI.EntryPoint+c__DisplayClass3.b__1() w System.Threading.ThreadHelper.ThreadStart_Context(System.Object) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Threading.ThreadHelper.ThreadStart()

Zadania pomyślnie wykonane, usterka Usług kryptograficznych też naprawiona. Kończymy: 1. Był uruchamiany GMER. Na wszelki wypadek sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj pobrany FRST oraz folder Stare dane programu Firefox z Pulpitu. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Adblock plus oczywiście może być ponownie zainstalowany. Był wymieniany tylko dlatego, że reset Firefox obliczony na likwidację adware tworzy świeży profil, czyli poprawne rozszerzenia wcześniej zainstalowane są usuwane.

Ta pozycja była na liście zainstalowanych wcześniej. Zdaje się jednak, że w międzyczasie nastąpiły jakieś zmiany, bo kilka elementów tego updatera nie zostało znalezionych również przez Fix FRST. Widzę także inne różnice, których wcześniej nie było w raporcie FRST - otóż ujawniło się więcej obiektów Strong Signal - albo dostarczone logi były nieświeże, albo ten śmieć się w międzyczasie zrekonstruował. Kolejne poprawki: 1. Sprawdź na liście zainstalowanych czy widać Strong Signal - jeśli tak, odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File R2 Service Mgr StrongSignal; C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce\plugincontainer.exe [581368 2015-02-28] () R2 Update Mgr StrongSignal; C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce\updater.exe [388856 2015-02-28] () S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X] C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\Program Files (x86)\Strong Signal C:\Users\User\Downloads\*(*)-dp*.exe RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt

Poprawki: 1. Ominęłam jedną usługę przez nieuwagę. Do Notatnika wklej: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-28] (SysTool PasSame LIMITED) [File not signed] C:\ProgramData\WindowsMangerProtect C:\Users\Monia\AppData\Roaming\Google Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Nic ze skanu nie wynika. 1. Sprawdź czy problem występuje po użyciu Google Software removal tool. 2. Jeśli powyższe nie pomoże, przeinstaluj przeglądarkę. Wyeksportuj tylko zakładki, odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj ponownie przeglądarkę. Linki pobierania: KLIK. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Jest więcej szkodliwych obiektów niż zakreśliłeś - np. cała kolekcja inwazyjnych sterowników adware. Do wykonania będzie kilka zadań. Na razie pierwsza seria: 1. Odinstaluj firmowe zbędniki: Bing Bar, Google Toolbar for Internet Explorer. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64; C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys [48792 2015-01-27] (StdLib) R1 {31c21995-b861-4864-ab50-4a53fbca73d4}Gw64; C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gw64.sys [48784 2015-02-03] (StdLib) R1 {371bcf01-e691-44bf-9345-60788e5d16a5}Gw64; C:\Windows\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}Gw64.sys [48792 2015-01-28] (StdLib) R1 {df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64; C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64.sys [48784 2015-01-31] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX" FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Monia\AppData\Roaming\Mozilla\Firefox\Profiles\c3eb13e0.default\extensions\faststartff@gmail.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\Program Files (x86)\Solution Real C:\Program Files (x86)\XTab C:\Users\Public\Desktop\AsusTools\Network\ASUS WebStorage.lnk C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gw64.sys C:\Windows\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}Gw64.sys C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\omiga-plus uninstall" /f Reg: reg delete HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zestaw logów FRST niekompletny. Brak plików Addition + Shortcut. Uzupełnij. SpyHunter to program-naciągacz z czarnej listy! Unikać jak ognia tego wynalazku. Odinstaluj tego śmiecia. I skanery tu nie pomogą, dopóki router nie zostanie wyczyszczony i zabezpieczony. Wg raportu widać tu obecnie tylko adres routera: Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 Jeśli w ustawieniach routera brak już adresów DNS szkodnika, to problem tworzy któreś cache (bufor DNS i/lub cache przeglądarki). Na razie jednak skupmy się na routerze, bo sam twierdzisz, że zmiana DNS wystąpiła więcej niż raz, czyli są luki bezpieczeństwa. Podaj dokładny model urządzenia. I sama zmiana adresów DNS to za mało, należy zabezpieczyć router: 1. Zmienić login oraz zamknąć dostęp do panelu zarządzania od strony internetu. Instrukcje porównawcze: KLIK, KLIK. 2. Zaktualizować firmware, o ile producent routera udostępnia.

W przeglądarce jest adware Better Finder. Ale to nie wszystko, jest tu też uszkodzenie systemowe Usług kryptograficznych (baza catroot lub catroot2), tzn. multum usług i sterowników Microsoftu jest oznaczonych jako niepodpisane cyfrowo. Akcje do przeprowadzenia: 1. Pod kątem usterki Usług kryptograficznych uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k C:\Documents and Settings\All Users\Dane aplikacji\McAfee EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

We wszystkich tematach z "Roll Around" FRST nie pokazuje nic w przeglądarce Chrome. Prawdopodobnie ta infekcja modyfikuje któryś plik Google Chrome. Podaj mi dodatkowy skan - otwórz Notatnik i wklej w nim: File: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe File: C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\chrome.dll Folder: C:\Program Files (x86)\Google\Chrome Folder: C:\Users\Dom\AppData\Local\Google\Chrome CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\Extensions\external_extensions.json" CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\PepperFlash\manifest.json" CMD: type "C:\Users\Dom\AppData\Local\Google\Chrome\User Data\Default\Preferences" CMD: type "C:\Users\Dom\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wprowadzono błędne dane, wszystkie ukośniki wyzerowane w Notatniku: HKLMSoftwareWow6432NodeMicrosoftInternet ExplorerMain

Chodzi o sprawdzenie w opcjach przeglądarek ustawień połączenia. Pobierz TDSSKiller tymczasowo przehostowany na innym serwisie: KLIK Wróć do opisu CryptoWall 3.0, który podałam na początku, chyba go nie przeczytałeś, skoro wpadł Ci do głowy pomysł z "przeinstalowaniem Office". 1. Pliki są zaszyfrowane i brak dekodera (nie jest możliwe stworzenie go, nie jest możliwe złamanie szyfrowania w domowych warunkach). 2. Infekcja wykonuje również specjalne operacje uniemożliwiające odzysk poprzednich niezaszyfrowanych wersji: - "Bezpieczne usuwanie" oryginałów przy zastępowaniu zaszyfrowanymi kopiami, by zapobiec odzyskowi plików za pomocą programów typu PhotoRec i innych recovery. - Usuwanie punktów Przywracania systemu (dotyczy tylko dysku C, domyślnie Przywracanie nie jest czynne dla innych dysków niesystemowych). Pliki "HELP_DECRYPT" powstały 21 lutego, ale infekcja i proces szyfrowania były w toku znacznie wcześniej, tylko nie byłeś tego świadomy, bo widoczność elementów z żądaniem okupu to już faza, gdy szyfrowanie się w pełni dokonało. Początkowo dostępne punkty przywracania z 17 i 19 to były prawdopodobnie punkty utworzone już po likwidacji przez infekcję starszych, a obecnie i tak już ich nie ma. Jeśli dane zostały zaszyfrowane, nie ma innego ratunku niż kopia zapasowa. Jeśli jej nie posiadasz, pliki zostały utracone. Sprawdź co widzi ListCWall - wszystko co wykryje program zostało utracone. ListCWall może nic nie pokazać, jeśli jakiś skaner usunął z rejestru flagę infekcji, ale pliki zaszyfrowane i tak rozpoznasz - nie da się ich otworzyć.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki - temat wydzielony w osobny. Brak obowiązkowych raportów - dostarcz.

Nie wiem czy dobrze rozumiem. Ty chcesz przeinstalować Office, by ... otworzyć zaszyfrowane pliki? Po zaszyfrowaniu pliki są martwe i nieotwieralne, jedyne co z nimi można zrobić to je usunąć.... Listę zaszyfrowanych plików powinien podać ListCWall. Odpowiedz na zaległe pytania: Szukanie FRST ujawniło kolejne wpisy infekcji. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Control Panel\Desktop" /v SCRNSAVE.EXE /f Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\97fd52bd_0" /f CMD: netsh advfirewall reset RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Zadania wykonane, ale: Do wykonania aktualizacja firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Bezprzewodowy router/modem ADSL2+, TD-W8901G Z listy rozwijanej masz do wyboru trzy serie: V2, V3, V6. Porównujesz ze swoją naklejką na urządzeniu i klikasz korespondujący link.

Sterownik został wprowadzony przez jakiś program związany z nagrywaniem / masterowaniem DVD. Filtruje on napędy CD/DVD. Jest blokowany przez system, gdyż to archaiczny 32-bitowy plik niekompatybilny z systemem 64-bit: S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [10368 2006-10-02] (Padus, Inc.) [File not signed] Usuwanie tego sterownika i powiązanego filtra załączam w skrypcie poniżej. To nie jedyne problemy w Twoim systemie. Są tu ślady adware, a przeglądarka Google Chrome została przekształcona przez adware z wersji stabilnej do developerskiej i konieczna reinstalacja od zera. Poza tym, jesteś amatorem "Sunrise Seven" i modyfikowałeś plik explorer.exe - ostrzeżenie w tej kwestii: KLIK. ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe [2009-07-14 00:56] - [2014-12-03 23:06] - 2868224 ____A (Microsoft Corporation) 858397F9C98D6DD1A5547DA39CAD3785 Akcje do przeprowadzenia: 1. Z Google Chrome wyeksportuj zakładki. Odinstaluj przeglądarkę, wybierz opcję Usuń także dane przeglądarki (resztę doczyści skrypt poniżej). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [10368 2006-10-02] (Padus, Inc.) [File not signed] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QPST v2.7.378.zip.lnk HKU\S-1-5-21-1597870552-71927855-2046932826-500\...\Policies\Explorer: [NoWindowsUpdate] 0 HKU\S-1-5-21-1597870552-71927855-2046932826-500\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 SearchScopes: HKU\S-1-5-21-1597870552-71927855-2046932826-500 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 SearchScopes: HKU\S-1-5-21-1597870552-71927855-2046932826-500 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\{15e07bca-65a6-23ee-15e0-07bca65aef29} C:\ProgramData\2b9b778a00000255 C:\ProgramData\7369084718163618701 C:\ProgramData\Ashampoo C:\ProgramData\AVG Security Toolbar C:\ProgramData\epcflnhekbeiedbpcempcodppnncjelo C:\ProgramData\MFAData C:\Users\Administrator\AppData\Local\Google C:\Users\Administrator\AppData\Local\MFAData C:\Users\Administrator\AppData\Local\Mozilla C:\Users\Administrator\AppData\Roaming\Mozilla C:\Users\Administrator\AppData\Roaming\TuneUp Software C:\Users\Administrator\AppData\Roaming\Microsoft\Word\*.lnk C:\Windows\SysWOW64\drivers\pfc.sys Folder: C:\ProgramData\CODEX Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Avira Systray" /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jest tu infekcja routera - zakolorowany adres jest z Austrii: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8 Przekierowania DNS to istota problemu. Prócz tego są jeszcze inne sprawy związane z niepożądanymi instalacjami adware/PUP - np. w tle nadal działa szkodnik "Live Malware Protection". Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj najwyżkę skanerów: Microsoft Security Essentials, Spybot - Search & Destroy. Ten Spybot to przestarzły konstrukcyjnie program. 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy isearch.omiga-plus.com, mystartsearch.com. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mruvek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Live Malware Protection; C:\Windows\mlwps.exe [239104 2015-02-10] (AV Security Software) [File not signed] S2 SPDRIVER_1462.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1462.0.0.0\jsdrv.sys [X] Task: {50C061D8-18A9-41B6-AC6C-58A64AC4F549} - System32\Tasks\UNELEVATE_27644 => C:\Program Files (x86)\ShopperPro\JSDriver\1462.0.0.0\jsdrv.exe Task: {7E1F8819-9CFB-47A8-A78F-6BB287298681} - \Jelbrus Secure Web Task No Task File Task: {B5C5F4D9-7043-4E57-8542-B4B5D7E7E581} - \SPBIW_UpdateTask_Time_313134313638363138332d3437415a556c2a3223346c41 No Task File Task: {E631DA24-7B71-4118-805E-ED3B3C3F9DB6} - System32\Tasks\{5A58DE2B-3D71-401C-887E-39843692CD6C} => pcalua.exe -a C:\Users\Mruvek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt Task: {F3033A5B-4A3A-4838-A6E0-9915B40536D5} - System32\Tasks\{F1EF64D4-CA89-46FB-8AA5-7156AE2A64FC} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.10.0.116&LastError=404 HKU\S-1-5-21-2425550454-778079741-1055617296-1000\...\Run: [uTorrent] => "D:\instalki\uTorrent\updates\3.4.2_37907.exe" /MINIMIZED HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 0x00 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 0x00 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 0x00 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 0x00 HKU\S-1-5-21-2425550454-778079741-1055617296-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 0x00 C:\d44aa6d0064ed097757888452e C:\Program Files (x86)\133c7306-471f-4bf1-91ae-5c9ef844c9ae C:\Program Files (x86)\1d312dc6-83b0-4bb1-8f58-5094850398d9 C:\Users\Mruvek\AppData\Roaming\46B7.tmp C:\Users\Mruvek\AppData\Roaming\ONHJDN C:\Windows\mlwps.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podaj dokładnie jaki model routera jest w użyciu.

Bardzo mi przykro, nie jestem w stanie zaradzić na zaszyfrowane dane. Czy nadal jest problem z pobraniem Kasperskiego? Poproszę też o kolejne szukanie w rejestrze, gdyż malware mogło startować także z innych ścieżek nie skanowanych przez FRST. Uruchom FRST, w polu Search wklej: IEUpdate Klik w Search Registry i przedstaw wynikowy log.

DelFix wykonał co należy - usuń z dysku plik C:\Delfix.txt. Tak, nie widzę przeszkód, by korzystać z przeglądarki.

Sprawdź czy po ponownym usunięciu ręcznym folder się odtworzy. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.