picasso

Wprowadzono błędne dane, wszystkie ukośniki wyzerowane w Notatniku: HKLMSoftwareWow6432NodeMicrosoftInternet ExplorerMain

Chodzi o sprawdzenie w opcjach przeglądarek ustawień połączenia. Pobierz TDSSKiller tymczasowo przehostowany na innym serwisie: KLIK Wróć do opisu CryptoWall 3.0, który podałam na początku, chyba go nie przeczytałeś, skoro wpadł Ci do głowy pomysł z "przeinstalowaniem Office". 1. Pliki są zaszyfrowane i brak dekodera (nie jest możliwe stworzenie go, nie jest możliwe złamanie szyfrowania w domowych warunkach). 2. Infekcja wykonuje również specjalne operacje uniemożliwiające odzysk poprzednich niezaszyfrowanych wersji: - "Bezpieczne usuwanie" oryginałów przy zastępowaniu zaszyfrowanymi kopiami, by zapobiec odzyskowi plików za pomocą programów typu PhotoRec i innych recovery. - Usuwanie punktów Przywracania systemu (dotyczy tylko dysku C, domyślnie Przywracanie nie jest czynne dla innych dysków niesystemowych). Pliki "HELP_DECRYPT" powstały 21 lutego, ale infekcja i proces szyfrowania były w toku znacznie wcześniej, tylko nie byłeś tego świadomy, bo widoczność elementów z żądaniem okupu to już faza, gdy szyfrowanie się w pełni dokonało. Początkowo dostępne punkty przywracania z 17 i 19 to były prawdopodobnie punkty utworzone już po likwidacji przez infekcję starszych, a obecnie i tak już ich nie ma. Jeśli dane zostały zaszyfrowane, nie ma innego ratunku niż kopia zapasowa. Jeśli jej nie posiadasz, pliki zostały utracone. Sprawdź co widzi ListCWall - wszystko co wykryje program zostało utracone. ListCWall może nic nie pokazać, jeśli jakiś skaner usunął z rejestru flagę infekcji, ale pliki zaszyfrowane i tak rozpoznasz - nie da się ich otworzyć.

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki - temat wydzielony w osobny. Brak obowiązkowych raportów - dostarcz.

Nie wiem czy dobrze rozumiem. Ty chcesz przeinstalować Office, by ... otworzyć zaszyfrowane pliki? Po zaszyfrowaniu pliki są martwe i nieotwieralne, jedyne co z nimi można zrobić to je usunąć.... Listę zaszyfrowanych plików powinien podać ListCWall. Odpowiedz na zaległe pytania: Szukanie FRST ujawniło kolejne wpisy infekcji. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Control Panel\Desktop" /v SCRNSAVE.EXE /f Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\97fd52bd_0" /f CMD: netsh advfirewall reset RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Zadania wykonane, ale: Do wykonania aktualizacja firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Bezprzewodowy router/modem ADSL2+, TD-W8901G Z listy rozwijanej masz do wyboru trzy serie: V2, V3, V6. Porównujesz ze swoją naklejką na urządzeniu i klikasz korespondujący link.

Sterownik został wprowadzony przez jakiś program związany z nagrywaniem / masterowaniem DVD. Filtruje on napędy CD/DVD. Jest blokowany przez system, gdyż to archaiczny 32-bitowy plik niekompatybilny z systemem 64-bit: S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [10368 2006-10-02] (Padus, Inc.) [File not signed] Usuwanie tego sterownika i powiązanego filtra załączam w skrypcie poniżej. To nie jedyne problemy w Twoim systemie. Są tu ślady adware, a przeglądarka Google Chrome została przekształcona przez adware z wersji stabilnej do developerskiej i konieczna reinstalacja od zera. Poza tym, jesteś amatorem "Sunrise Seven" i modyfikowałeś plik explorer.exe - ostrzeżenie w tej kwestii: KLIK. ==================== Bamital & volsnap Check ================= C:\Windows\explorer.exe [2009-07-14 00:56] - [2014-12-03 23:06] - 2868224 ____A (Microsoft Corporation) 858397F9C98D6DD1A5547DA39CAD3785 Akcje do przeprowadzenia: 1. Z Google Chrome wyeksportuj zakładki. Odinstaluj przeglądarkę, wybierz opcję Usuń także dane przeglądarki (resztę doczyści skrypt poniżej). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [10368 2006-10-02] (Padus, Inc.) [File not signed] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] Startup: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\QPST v2.7.378.zip.lnk HKU\S-1-5-21-1597870552-71927855-2046932826-500\...\Policies\Explorer: [NoWindowsUpdate] 0 HKU\S-1-5-21-1597870552-71927855-2046932826-500\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 SearchScopes: HKU\S-1-5-21-1597870552-71927855-2046932826-500 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 SearchScopes: HKU\S-1-5-21-1597870552-71927855-2046932826-500 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.look-for-it.info/?l=1&q={searchTerms}&pid=20495&r=2015/02/23&hid=4116981499609149788&lg=EN&cc=PL&unqvl=82 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\{15e07bca-65a6-23ee-15e0-07bca65aef29} C:\ProgramData\2b9b778a00000255 C:\ProgramData\7369084718163618701 C:\ProgramData\Ashampoo C:\ProgramData\AVG Security Toolbar C:\ProgramData\epcflnhekbeiedbpcempcodppnncjelo C:\ProgramData\MFAData C:\Users\Administrator\AppData\Local\Google C:\Users\Administrator\AppData\Local\MFAData C:\Users\Administrator\AppData\Local\Mozilla C:\Users\Administrator\AppData\Roaming\Mozilla C:\Users\Administrator\AppData\Roaming\TuneUp Software C:\Users\Administrator\AppData\Roaming\Microsoft\Word\*.lnk C:\Windows\SysWOW64\drivers\pfc.sys Folder: C:\ProgramData\CODEX Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Avira Systray" /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jest tu infekcja routera - zakolorowany adres jest z Austrii: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8 Przekierowania DNS to istota problemu. Prócz tego są jeszcze inne sprawy związane z niepożądanymi instalacjami adware/PUP - np. w tle nadal działa szkodnik "Live Malware Protection". Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj najwyżkę skanerów: Microsoft Security Essentials, Spybot - Search & Destroy. Ten Spybot to przestarzły konstrukcyjnie program. 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy isearch.omiga-plus.com, mystartsearch.com. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mruvek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Live Malware Protection; C:\Windows\mlwps.exe [239104 2015-02-10] (AV Security Software) [File not signed] S2 SPDRIVER_1462.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1462.0.0.0\jsdrv.sys [X] Task: {50C061D8-18A9-41B6-AC6C-58A64AC4F549} - System32\Tasks\UNELEVATE_27644 => C:\Program Files (x86)\ShopperPro\JSDriver\1462.0.0.0\jsdrv.exe Task: {7E1F8819-9CFB-47A8-A78F-6BB287298681} - \Jelbrus Secure Web Task No Task File Task: {B5C5F4D9-7043-4E57-8542-B4B5D7E7E581} - \SPBIW_UpdateTask_Time_313134313638363138332d3437415a556c2a3223346c41 No Task File Task: {E631DA24-7B71-4118-805E-ED3B3C3F9DB6} - System32\Tasks\{5A58DE2B-3D71-401C-887E-39843692CD6C} => pcalua.exe -a C:\Users\Mruvek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt Task: {F3033A5B-4A3A-4838-A6E0-9915B40536D5} - System32\Tasks\{F1EF64D4-CA89-46FB-8AA5-7156AE2A64FC} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.10.0.116&LastError=404 HKU\S-1-5-21-2425550454-778079741-1055617296-1000\...\Run: [uTorrent] => "D:\instalki\uTorrent\updates\3.4.2_37907.exe" /MINIMIZED HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 0x00 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 0x00 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 0x00 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 0x00 HKU\S-1-5-21-2425550454-778079741-1055617296-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 0x00 C:\d44aa6d0064ed097757888452e C:\Program Files (x86)\133c7306-471f-4bf1-91ae-5c9ef844c9ae C:\Program Files (x86)\1d312dc6-83b0-4bb1-8f58-5094850398d9 C:\Users\Mruvek\AppData\Roaming\46B7.tmp C:\Users\Mruvek\AppData\Roaming\ONHJDN C:\Windows\mlwps.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podaj dokładnie jaki model routera jest w użyciu.

Bardzo mi przykro, nie jestem w stanie zaradzić na zaszyfrowane dane. Czy nadal jest problem z pobraniem Kasperskiego? Poproszę też o kolejne szukanie w rejestrze, gdyż malware mogło startować także z innych ścieżek nie skanowanych przez FRST. Uruchom FRST, w polu Search wklej: IEUpdate Klik w Search Registry i przedstaw wynikowy log.

DelFix wykonał co należy - usuń z dysku plik C:\Delfix.txt. Tak, nie widzę przeszkód, by korzystać z przeglądarki.

Sprawdź czy po ponownym usunięciu ręcznym folder się odtworzy. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Akcje wykonane, z jednym małym wyjątkiem. Odtworzył się usuwany folder C:\ProgramData\Safe. Sprawdź co w nim jest.

Na koniec zastosuj DelFix (GMER dokasuj ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK.

To nie koniec. Dostarcz dane:

Przekierowania isearch.omiga-plus.com są nadal w Google Chrome, pozostały też polityki Google wprowadzone przez adware. Dodatkowo drobne kosmetyczne korekty po kątem wpisów pustych i czyszczenie Temp. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422313482&from=cor&uid=ST1000LM014-SSHD-8GB_W381VF31XXXXW381VF31 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422313482&from=cor&uid=ST1000LM014-SSHD-8GB_W381VF31XXXXW381VF31" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4218959263-1578342697-2654768450-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-4218959263-1578342697-2654768450-1002\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-4218959263-1578342697-2654768450-1002\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-4218959263-1578342697-2654768450-1002\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe S3 cpuz136; \??\C:\Users\Z510\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\ProgramData\Safe C:\Users\Z510\Downloads\SpyHunter-Installer.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

kerpal, poprzedni temat nie został skończony: https://www.fixitpc.pl/topic/25399-notoryczne-uszkadzanie-sejwów-w-grze-coś-z-dyskiem/ Tu jest ten sam komputer i po prostu kolejne skutki uboczne. Tematy zostaną sklejone.

MBAM wykrył drobny szczątek adware. Usunięty i OK. Skasuj folder "FRST" z Pobranych. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Skasuj pobrany FRST z folderu "naprawa systemu". Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix It 50202 naprawił bazę catroot2 - zniknął masowy odczyt braku podpisu cyfrowego. Pozostał problem z martwym AVG Web TuneUp oraz aktywnymi szczątkami PC Tools. AVG Web TuneUp jest uszkodzony przez AdwCleaner, a kopii zapasowej AdwCleaner brak, bo na tamtym forum zalecono deinstalację AdwCleaner. Na razie spróbuj usunąć powiązany sterownik i wpis instalacyjny produktu: 1. Do Notatnika wklej: R1 avgtp; D:\WINDOWS\system32\drivers\avgtpx86.sys [43296 2014-12-09] (AVG Technologies) BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {CAFEEFAC-0017-0000-0071-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_71-windows-i586.cab CHR HKLM\...\Chrome\Extension: [pkijdmeepjhpenmighhaodgfoogncnlk] - E:\Program Files\Offline Explorer\mpoe.crx [2013-02-01] FF Plugin: @java.com/DTPlugin,version=10.5.1 -> D:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) D:\Program Files\Asprate D:\Program Files\Java D:\Program Files\OpenOffice.org 3 D:\Program Files\Opera D:\WINDOWS\system32\deployJava1.dll D:\WINDOWS\system32\drivers\avgtpx86.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom Zoek. W oknie wklej: AVG Web TuneUp;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 3. Zapomniałam podać do deinstalacji komponent towarzyszący przeglądarce Safari: Apple Software Update. 4. Te skróty posprzątaj - wg raportu tam jest niezły śmietnik. Po tym zrób nowy log FRST Shortcut.

Nic z tego skanu nie wynika. Problem występuje tylko w przeglądarce Google Chrome, w Internet Explorer nie? Zacznij od tego: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

Fix wykonany. Na wszelki wypadek zrób jeszcze skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, dostarcz raport.

Wszystko pomyślnie przetworzone. Kolejny krok: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Zasady działu: KLIK. Tu nie wolno się podpinać pod cudze tematy, każdy ma mieć swój osobisty temat. Podobna sytuacja jak w linkowanym temacie. Nie odinstalowałeś programu adware YouTube Accelerator w poprawny sposób (wielu innych zresztą też), AdwCleaner na siłę skasował komponenty i uszkodził łańcuch sieciowy Winsock: Winsock: Catalog9 01 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 02 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 03 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 04 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 05 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 06 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 07 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 08 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 09 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 10 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 11 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Winsock: Catalog9 23 C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll File Not found () Adware i tak nie jest dobrze wyczyszczone, masa innych obiektów widoczna, a Google Chrome zostało przekonwertowało przez adware z wersji stabilnej developerskiej i wymagana reinstalacja przeglądarki. Poza tym, naciąłeś się na lewy program z czarnej listy YAC (Yet Another Cleaner). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Adobe Shockwave Player 12.1, Google Chrome, Java 7 Update 71, Search App by Ask, YAC(Yet Another Cleaner!). 2. W Operze CTRL+SHIFT+E i z listy rozszerzeń odinstaluj adware iWebar, Senses. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 0c632643; "C:\Windows\system32\rundll32.exe" "c:\progra~3\intere~1\InterenetOptimizerSvc.dll",service S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S3 L1C; system32\DRIVERS\L1C62x64.sys [X] S2 MeDM; C:\Windows\SysWOW64\MeDM.exe [X] S2 SPDRIVER_1.38.0.1425; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.sys [X] HKU\S-1-5-21-559403659-1954856361-4293762593-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Pio\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-559403659-1954856361-4293762593-1001\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-559403659-1954856361-4293762593-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4 SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1421856453&from=zbd1&uid=st9750420as_5ws4kmj4xxxx5ws4kmj4&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1421856453&from=zbd1&uid=st9750420as_5ws4kmj4xxxx5ws4kmj4&q={searchTerms} SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3331322&octid=EB_ORIGINAL_CTID&ISID=MDBF20F81-9441-4CE3-801E-0D2812DE1DEA&SearchSource=58&CUI=&UM=8&UP=SP06FD1741-EA99-4EAB-BC64-F25D0F5CBDD4&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F240685D436C4289&affID=119357&tsp=4944 SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418887371&from=wpm12173&uid=ST9750420AS_5WS4KMJ4XXXX5WS4KMJ4&q={searchTerms} SearchScopes: HKU\S-1-5-21-559403659-1954856361-4293762593-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1421856453&from=zbd1&uid=st9750420as_5ws4kmj4xxxx5ws4kmj4&q={searchTerms} BHO-x32: Internet Program -> {ff0021ad-2cc3-4e0d-8e3c-b4153a64a495} -> C:\Program Files (x86)\Internet Program\Extensions\ff0021ad-2cc3-4e0d-8e3c-b4153a64a495.dll () Task: {00DFFB19-3E5B-471C-9103-067C6A21E7D2} - System32\Tasks\{5F2A6937-002A-4253-A1F3-EB80DBE85DF5} => H:\autorun.exe Task: {1F81D2F7-4957-4974-A037-3F74221100F3} - System32\Tasks\{786A4A95-754D-4696-9BB3-E17F1202FE9A} => pcalua.exe -a "D:\Gry\Instalki\CS16 Full v32.1 Non-Steam\Addon_Pack_v2.exe" -d "D:\Gry\Instalki\CS16 Full v32.1 Non-Steam" Task: {281CE71A-EE13-42B6-B74B-03F4C2D18114} - System32\Tasks\SPBIW_UpdateTask_Time_313734383336363738332d574a324178345a2a376c455a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {2EE77630-BFC0-4D49-82C4-F59B9F9D9094} - System32\Tasks\UNELEVATE_23374 => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.exe Task: {7842228B-07F0-4A61-BBA5-344FCB32F7A1} - System32\Tasks\{6753005F-878E-4AC7-98D1-700F51D4D5A5} => H:\autorun.exe Task: {7E677162-CC10-44AF-841C-243B919591BF} - System32\Tasks\{8E0DF9E1-9029-4C86-A643-7E0ABE49BBDE} => pcalua.exe -a G:\install.exe -d G:\ Task: {8BF49023-DE55-43C6-AE97-47E53667D857} - System32\Tasks\{42A6345F-903D-4D9C-A977-CCB969A710F1} => pcalua.exe -a "C:\Users\Pio\Downloads\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe\Nero-6.6.1.4_no_yt.exe" -d "C:\Users\Pio\Downloads\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe\Nero 6.6.1.4_ENG_PL_ Serial_LightScribe" Task: {AB2F52EA-DE1C-4F61-B99F-97C3B8F827C0} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {E01F95C8-7879-4B83-9243-7E494E0A98BE} - System32\Tasks\{804AD235-B5B1-4ED4-8B14-8927803E2BC9} => pcalua.exe -a D:\Gry\Instalki\skoki\skoki\Uninstall.exe -d D:\Gry\Instalki\skoki\skoki Task: {E82B6C2B-9A5A-4778-84D9-D6468289302A} - System32\Tasks\avayvaxvaa => C:\Users\Pio\AppData\Local\avayvaxvaa\avayvaxvaa.exe [2015-02-19] () Task: {EB6F9502-02CE-4B36-BA59-D7273DAE2DB0} - System32\Tasks\{F2A2A808-BD9F-4660-BC86-D6C405FA8BBD} => pcalua.exe -a D:\Gry\Instalki\skoki\skoki\Install.exe -d D:\Gry\Instalki\skoki\skoki C:\Program Files\Common Files\ShopperPro C:\Program Files\Chromium Updater C:\Program Files\saveranet C:\Program Files\saveRon C:\Program Files (x86)\Google C:\Program Files (x86)\Internet Program C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Spotify Search Plus C:\ProgramData\{*}.log C:\ProgramData\6fb1f30a-cea7-4ccf-bff8-acbecbfe46f9 C:\ProgramData\Mozilla C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Pio\AppData\Local\avayvaxvaa C:\Users\Pio\AppData\Local\GG\Application.old\gg.lnk C:\Users\Pio\AppData\Local\GG\backup_11069\gg.lnk C:\Users\Pio\AppData\Local\Google C:\Users\Pio\AppData\Local\Mozilla C:\Users\Pio\AppData\Roaming\AEMYJJTL.exe C:\Users\Pio\AppData\Roaming\appdataFr3.bin C:\Users\Pio\AppData\Roaming\HUKJO.exe C:\Users\Pio\AppData\Roaming\OZWDNTC.exe C:\Users\Pio\AppData\Roaming\sp_data.sys C:\Users\Pio\AppData\Roaming\ZDBEDRP.exe C:\Users\Pio\AppData\Roaming\Mozilla C:\Windows\system32\log Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, internet powinien zostać naprawiony. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Pio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat pobierania z dobrychprogramów i podobnych: KLIK. Widzę, że Google Chrome już odinstalowałaś (choć pozostał profil na dysku), w Firefox nadal widać rozszerzenie adware Strong Signal. Działania do wdrożenia: 1. Deinstalacje: - Odinstaluj starą wersję Java 7 Update 76 i zbędny (prawdopodobnie instalacja sponsorowana) McAfee Security Scan Plus. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] Task: {62F60561-2450-4CD7-8730-23B85B256831} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {A1DE6D55-DC28-49A1-B11F-16DB299A0D31} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\SN.Booster-S-615019665.job => c:\programdata\miniapp\sn.booster\SN.Booster.exeE/schedule /profile c:\programdata\miniapp\sn.booster\615019665.iniUserSN.Boo AppInit_DLLs-x32: c:\progra~2\sn0310~1.boo => "c:\progra~2\sn0310~1.boo" File Not Found HKLM-x32\...\Run: [sessionLogon] => C:\ExpressGateUtil\SessionLogon.exe HKLM-x32\...\Run: [NWEReboot] => [X] HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe" HKU\S-1-5-21-1637351539-915756313-3180054859-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1637351539-915756313-3180054859-1000\Software\Classes\.exe: => CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1637351539-915756313-3180054859-1000 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKU\S-1-5-21-1637351539-915756313-3180054859-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: PopBlocker Class -> {7648AC4A-76F6-4d95-B2C4-F0DBD88E5DD5} -> C:\Windows\SysWow64\wmvploc.dll No File BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File CustomCLSID: HKU\S-1-5-21-1637351539-915756313-3180054859-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\User\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burger Island C:\ProgramData\Temp C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Roaming\error.log C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Tak, to już koniec. Temat rozwiązany. Zamykam.

Skasuj pobrany GMER. Zastosuj DelFix, zaktualizuj Java oraz wyczyść foldery Przywracania systemu: KLIK.