picasso

Log Delfix.txt zaprezentuj, jak wskazane w instrukcji. Program nie jest nieomylny i musi być sprawdzone co usuwał. W kwestii trzeciego punktu: Start > Uruchom > devmgmt.msc > w menu Widok zaznacz "Urządzenia wg połączenia" > rozwijasz gałęzie aż znajdziesz kontroler IDE na którym jest podczepiony dysk twardy z systemem (prawdopodobnie Podstawowy kanał IDE) > prawoklik na ów kanał IDE > Właściwości > karta Zaawansowane > co widać jako Bieżący tryb transferu, DMA czy PIO?

To się wprawdzie da zrobić przez reset hasła z poziomu bootowalnej płyty, ale uważam, że operacja jest zbyt radykalna w kontekście zadania i to przy całkowitej niewiedzy co jest na tym koncie (może wcale nie być tam adware), narusza też prywatność cudzego konta. Lepiej byłoby gdyby to on samodzielnie się zalogował i dostarczył skany.

Wyniki "Hitman: "Suspicious files" do zignorowania (to jest FRST), dużo wyników pochodzi z folderu System Volume Inormation (Przywracania systemu) i to zostanie wyczyszczone w inny sposób, reszta wyników typu "Potential Unwanted Programs" to szczątki adware. Czyli: 1. Za pomocą Hitman usuń wszystkie wyniki typu "Potential Unwanted Programs". 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Był uruchamiany GMER, upewnij się że transfery dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Skomentuję tylko tę część: Bez znaczenia i jakiegokolwiek wpływu na system. Do usunięcia tego błędu (czyli w istocie "kosmetyki" Dziennika zdarzeń) służy narzędzie Fix-it: KLIK.

Ale Krzysztof to Twoje czy cudze konto? Na koncie Przemek już skończyliśmy, skasuj stamtąd FRST. Na koncie Grzegorz: 1. Miałeś wykonać: AdwCleaner wskazuje, że to się nie stało. Skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com. 2. Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 3. Do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Skoro nic nie wykrył, to log przecież zbędny, o czym pisałam: "o ile narzędzie coś znajdzie". Teraz: Przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wynikowy log. Prawdopodobnie musisz zmienić rozszerzenie pliku z *.LOg na *.TXT, by dało się doczepić plik tu w za

Ilość kanałów zależy od układu sprzętowego. Ich mnogość nie jest niczym dziwnym / nieprawidłowym. Jeśli system działa w porządku, nic już nie kombinuj. Artykuł pisałam wiele lat temu, gdy luksusem było posiadanie większej ilości RAM. Obecnie można odpuścić wiele rzeczy tam opisanych. Oczywiście niektóre rzeczy można stamtąd nadal wykonać.

Czy program cokolwiek podczas skanu wykrył?

1. Do usunięcia drobne szczątki Comodo (foldery i strumienie NTFS). Otwórz Notatnik i wklej w nim: C:\ProgramData\Comodo C:\Users\Bartek\AppData\Roaming\Comodo AlternateDataStreams: C:\Windows\system32\amdmantle64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdmmcl6.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdocl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\amdpcom64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiadlxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiapfxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticalcl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticaldd64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticalrt64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\aticfx64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atidemgy.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atidxx64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atieclxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiesrxx.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\atig6pxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atig6txx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiglpxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atimpc64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atimuixx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atio6axx.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atitmm64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiu9p64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiumd64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiumd6a.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\atiuxp64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\clinfo.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\coinst_14.30.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\mantle64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\mantleaxl64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OpenCL.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OpenVideo64.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\OVDecode64.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdmantle32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdmmcl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdocl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\amdpcom32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiadlxy.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticalcl.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticaldd.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticalrt.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\aticfx32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atidxx32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atigktxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiglpxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atimpc32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atioglxx.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiu9pag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiumdag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiumdva.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\atiuxpag.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\mantle32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\mantleaxl32.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OpenCL.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OpenVideo.dll:$CmdTcID AlternateDataStreams: C:\Windows\SysWOW64\OVDecode.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\amdacpksd.sys:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\ati2erec.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\atikmdag.sys:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\atikmpag.sys:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Desktop\FRST64.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Desktop\FRST64.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Desktop\Protokół, Nr IV 15 projekt (2).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Desktop\Wykaz_podpisĂłw_poparcia_Andrzeja_Dudy-1 (1).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\DNA-ATi-Legacy_10_2_1_64.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\DNA-ATi-Legacy_10_2_1_64.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\driver_setup.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\driver_setup.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\FlacSquisher-1.3.4-Installer.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\FlacSquisher-1.3.4-Installer.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\GlyphInstall-0-1.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\GlyphInstall-0-1.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\GPU-Z.0.8.1.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\GPU-Z.0.8.1.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\LAN_Broadcom_v.10.46.0.0_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Maffia_II_health_decreasing_bug_fix.rar:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Minecraft.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\Minecraft.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt (1).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt (2).doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Protokół, Nr IV 15 projekt.doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Tede Bezele - Techno Jazda Jazda.mp3:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\u06b1vir.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\u06b1vir.exe:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\VGA_Intel_v.7.14.10.1409_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\VGA_Intel_v6.14.10.4885_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Atherors_v.5.3.0.67_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Atheros_v7.3.1.73_Vistax86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wireless LAN_Broadcom_v4.170.25.12_XPx86.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\Wykaz_podpisĂłw_poparcia_Andrzeja_Dudy-1.doc:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\xp3264-10.0.0.274-whql_www.INSTALKI.pl.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\xvm-5.1.0.zip:$CmdZnID AlternateDataStreams: C:\Users\Bartek\Downloads\YChan 2.2.exe:$CmdTcID AlternateDataStreams: C:\Users\Bartek\Downloads\YChan 2.2.exe:$CmdZnID Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Jeszcze drobna sprawa do korekty w Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres adware home.sweetim.com. FRST to jakoby przetwarzał, a wpis nadal jest. 3. Zastosuj DelFix (losowo nazwany GMER należy dokasować ręcznie) oraz wyczyść foldery Przywracania systemu: KLIK. 4. I jak mówię, kompleksowa aktualizacja całego Windows do wykonania.

dontpanic, tu nie koniec czyszczenia. Czy sprawdziłeś podane powyżej dane?

Ad "radziłeś" = jestem kobietą. Zapomniałeś dostarczyć plik Fixlog.txt z wynikami przetwarzania skryptu, ale nowy log FRST poświadcza wykonanie zadania. W zakresie adware prawie wszystko zrobione. Kolejne poprawki: 1. Rekonfiguracja Google Chrome ujawniła nowe wpisy przekierowań adware. W przeglądarce: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy start.qone8.com, mystartsearch.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres start.qone8.com 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine ListPermissions: C:\Windows\System32\LogFiles\WMI ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup CMD: dism /Online /Cleanup-Image /RestoreHealth CMD: sc query Winmgmt CMD: winmgmt /salvagerepository Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Jeszcze uwaga: ten Alcohol FE ma na trwałe zintegrowanego śmiecia Smart File Advisor - nie da się opuścić jego instalacji ze względu na zszarzenie opcji, ten śmieć się jednak nie zainstaluje, jeśli podczas instalacji Alcohola zostanie odcięte połączenie sieciowe. Poprawki: 1. Czy na pewno odinstalowałeś Smart File Advisor (tak, jego deinstalacja usuwa też Alcohol)? Widzę jego folder na dysku. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Fix FRST pomyślnie wykonany. Tak, folder można usunąć. Na wszelki wypadek zrób mi jednak nowy log FRST (wlącznie z Addition), by potwierdzić dokładne usunięcie komponentów startowych Comodo. Przetestuj czy problem ujawnia się też w stadium czystego rozruchu: KLIK.

W systemie jest adware, w tym dwa inwazyjne sterowniki, które są prawdopodobną przyczyną problemu z ładowaniem stron. Działania do przeprowadzenia: 1. Odinstaluj starą dziurawą wersję Java 7 Update 21. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120 2014-06-11] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}w64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys [61120 2014-05-13] (StdLib) S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X] S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X] S3 BTATH_HCRP; \SystemRoot\System32\drivers\btath_hcrp.sys [X] S3 BTATH_HID; \SystemRoot\system32\DRIVERS\btath_hid.sys [X] S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X] S3 BtFilter; \SystemRoot\system32\DRIVERS\btfilter.sys [X] Task: {06C1997B-657F-4E02-955D-C99DA523DDA9} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-2 No Task File Task: {169E5C83-F109-4182-A689-0831568E35EB} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-3 No Task File Task: {18D4D069-20E8-4EC3-97E1-164A0CFD82CE} - System32\Tasks\update-S-1-5-21-1577275202-546194520-1271563289-1001 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [2014-11-28] () Task: {1A77AE6A-2B4B-4283-8171-B99600056D38} - \SaveSense No Task File Task: {2CB378FC-2F05-424E-BBCC-53F7F804FDDD} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-5 No Task File Task: {381392FD-5027-4D31-A9BD-DB4A388F87A3} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File Task: {3A2DB3A1-72AD-4B23-85F0-3920A3BB7B1D} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-6 No Task File Task: {41B8C1B7-68A1-4587-A021-2474A713D155} - System32\Tasks\{16B21B81-7998-4950-95AD-83796F23D103} => pcalua.exe -a "C:\Program Files\PowerISO\PowerISO.exe" -d "C:\Users\Kamil\Desktop\Age Of Empires 3 Incl Expansion and keys\AoE III Images" -c "C:\Users\Kamil\Desktop\Age Of Empires 3 Incl Expansion and keys\AoE III Images\rld-aoe-cd1.uif" Task: {42C939A3-AC9B-459B-B3B4-653A39A70CA9} - \APSnotifierPP2 No Task File Task: {57ADF43F-6F37-48D3-9DD1-CEC50A9D36EE} - \BlockAndSurf Update No Task File Task: {800D1580-37A8-420B-8E18-A1D9D8556F5E} - \BonanzaDealsUpdate No Task File Task: {8F3C20D3-5FF2-42C9-83F0-27232068EFD9} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-7 No Task File Task: {8F945C8C-8026-4F20-92C9-BC8A133E452D} - \BrowserProtect No Task File Task: {915EDB9C-EBAB-437B-BB36-942EF6BB629A} - \APSnotifierPP1 No Task File Task: {9CD57351-3406-495D-9A18-1290EE668D04} - \BlockAndSurf_wd No Task File Task: {A317467D-4BD8-43C4-A1E4-0FA68AB71057} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [2014-11-28] () Task: {D1DA9F10-E940-47EC-AC76-AF97DC1F5B7E} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-1 No Task File Task: {D63234B7-72D5-4BBD-A6A8-4D409D3D1046} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File Task: {D9D59809-ADCE-403D-9855-4C4D5B01BB4E} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-4 No Task File Task: {F0D6B61F-CB21-4C37-9732-79A213B6E817} - \APSnotifierPP3 No Task File Task: C:\WINDOWS\Tasks\bench-Updater removing.job => !©¤ÄGÚC˛¸ŢI›ě»FŇ ˙˙˙˙Ś/verysilentWORKGROUP\ZAWIAS$This will uninstall Updater.0Ď1Ţ Ąń Task: C:\WINDOWS\Tasks\update-S-1-5-21-1577275202-546194520-1271563289-1001.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: C:\WINDOWS\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe HKLM-x32\...\Run: [fst_pl_30] => [X] HKLM-x32\...\Run: [GPUTemp] => "C:\Users\Kamil\AppData\Local\Temp\GPUTemp.exe" HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f HKU\S-1-5-21-1577275202-546194520-1271563289-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1577275202-546194520-1271563289-1001\...\Run: [Viber] => "C:\Users\Kamil\AppData\Local\Viber\Viber.exe" AppInit_DLLs: Files C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program => Files C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program File Not Found AppInit_DLLs-x32: c:\progra~3\107860~1\bitacd1.tmp => c:\ProgramData\1078601655\BITACD1.tmp [4125696 2014-05-22] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1413643846&from=ild&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1413643846&from=ild&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} HKU\S-1-5-21-1577275202-546194520-1271563289-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1409177520&from=cor&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} HKU\S-1-5-21-1577275202-546194520-1271563289-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1409177520&from=cor&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1577275202-546194520-1271563289-1001 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M9BA9C948-F955-4336-93F2-2A1DC3A90EB3&SearchSource=58&CUI=&UM=6&UP=SP90554668-25C6-4135-86F0-FBE1B131C98F&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1577275202-546194520-1271563289-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M9BA9C948-F955-4336-93F2-2A1DC3A90EB3&SearchSource=58&CUI=&UM=6&UP=SP90554668-25C6-4135-86F0-FBE1B131C98F&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1577275202-546194520-1271563289-1001 -> {255F6B65-DB46-4392-A798-6749D0F7F98F} URL = BHO: SNT -> {3D30C04E-BEC8-8F6D-960E-8F29DC4E3C19} -> C:\Program Files (x86)\SNT\8u3cH5.x64.dll No File BHO: SNT -> {87177281-2792-D7F4-A6CC-187392CB1983} -> C:\Program Files (x86)\SNT\b5i.x64.dll No File BHO-x32: SNT -> {3D30C04E-BEC8-8F6D-960E-8F29DC4E3C19} -> C:\Program Files (x86)\SNT\8u3cH5.dll No File BHO-x32: SNT -> {87177281-2792-D7F4-A6CC-187392CB1983} -> C:\Program Files (x86)\SNT\b5i.dll No File BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\Program Files (x86)\ALLPlayer\Iplex\IplexToALLPlayer.dll No File C:\Program Files (x86)\ALLPlayer C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Skillbrains C:\ProgramData\1078601655 C:\ProgramData\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\Users\Kamil\AppData\Roaming\msconfig.ini C:\Users\Kamil\AppData\Local\proxy.log C:\Users\Kamil\AppData\Local\updater.log C:\Users\Kamil\AppData\Local\Mozilla C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kamil\AppData\Local\Opera Software C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V5.0.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Opera Software C:\Users\Kamil\Desktop\Continue*.lnk C:\Users\Kamil\Documents\Viber.lnk C:\Users\Kamil\Downloads\Whats App PC.exe C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\User Guide.lnk C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustaw przeglądarkę jako domyślną, gdyż obecnie domyślną jest nieistniejąca już w systemie Opera. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Są tu dwa konta: ==================== Accounts: ============================= Kamil (S-1-5-21-1577275202-546194520-1271563289-1001 - Administrator - Enabled) => C:\Users\Kamil zawias (S-1-5-21-1577275202-546194520-1271563289-1002 - Limited - Enabled) => C:\Users\zawias Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób nowe logi FRST z opcji Scan: - Na koncie Kamil tylko główny bez Addition i Shortcut. - Na koncie zawias główny + Addition, bez Shortcut. To konto limitowane, więc FRST należy uruchomić przez dwuklik a nie "Uruchom jako Administrator" (zmieni się kontekst konta na Kamila). Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Poprawne zachowanie wcześniej nie jest dostatecznie przekonywującym dowodem, system i programy podlegają stałym zmianom, m.in. na skutek aktualizacji. Na wszelki wypadek zrób ponownie nowe raporty FRST (główny + Addition, Shortcut nie jest potrzebny).

Poprawki: NA KONCIE GRZEGORZ: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. NA KONCIE PRZEMEK: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-730475293-231205452-1474613943-1004\...\Run: [Yahoo! Search] => C:\Users\Przemek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe HKU\S-1-5-21-730475293-231205452-1474613943-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {40120E4C-A783-4A89-A0B2-F6AF237C7CBE} URL = http://rts.dsrlte.com/?q={searchTerms}&r=287 SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {E3ED097E-F7FB-49C5-A7EB-B7341729A0AE} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" CHR DefaultSearchKeyword: Default -> yahoo.com Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com oraz inne niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Na tym koncie prawdopodobnie też jest adware "Yahoo Search", a może i dodatkowe śmieci. Rozumiem, że to konto innego użytkownika. Czy jest szansa, że ta osoba dostarczy logi z tego konta?

1. Uruchom ponownie AdwCleaner, tym razem wybierz opcje Szukaj + Usuń. Gdy czyszczenie zostanie ukończone: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS CMD: del /q "C:\Documents and Settings\Dawid\Moje dokumenty\MicrosoftFixit.ProgramInstallUninstall.RNP.1233484140856643.3.1.Run.exe" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan komputera i dostarcz wynikowy log (o ile narzędzie coś znajdzie).

Istotnie, jest tu bagno infekcyjne tej konkretnej grupy CryptoWall, w tym trojan Sathurbot. Przymierzałeś się do uruchomienia SpyHunter - to program z czarnej listy! Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: ShellIconOverlayIdentifiers: [0WinSecurityProvider] -> {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} => C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll () HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [ubqjmedia] => C:\Users\PC\AppData\Local\Ubqjmedia\tmp175A.exe [430080 2015-02-23] (Fly Project Blood) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [uPHmedia] => regsvr32.exe C:\Users\PC\AppData\Local\UPHmedia\WMP.DLL HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Ofvics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\PC\AppData\Local\Ubqjmedia\mDNSResponder.dll HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Console Protect Service] => C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe [360960 2015-02-24] (©Ceysajolxofat) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Actisapi] => C:\Users\PC\AppData\Local\Temp\DHCPplay.exe HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [68668FD2] => C:\Users\PC\AppData\Roaming\68668FD2\bin.exe [77824 2015-02-25] (ForceCausally # CockiestDisassociateDisarmament FireguardConviction) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\RunOnce: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Policies\Explorer: [Run] "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe" HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Command Processor: "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe" Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rasautou.lnk Task: {8697A8EF-869D-49AA-9C39-E35B7CFE3349} - System32\Tasks\rasautou => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [2009-07-14] (©Wyebugur) HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9a1954fa-5db4-40e5-8397-013295993819} CMD: del /q /s C:\HELP_DECRYPT.* C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\APN C:\ProgramData\Microsoft\Security C:\Users\PC\AppData\Local\{75A2DCDF-222F-4890-AC46-4C6C3C589A80} C:\Users\PC\AppData\Local\BITD91F.tmp C:\Users\PC\AppData\Local\Ubqjmedia C:\Users\PC\AppData\Local\UPHmedia C:\Users\PC\AppData\Roaming\20dc23ac.dat C:\Users\PC\AppData\Roaming\68668FD2 C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\PC\AppData\Roaming\System C:\Users\PC\Downloads\C5D8D000 C:\Users\PC\Downloads\pobierz_*.exe C:\Users\PC\Downloads\SpyHunter-Installer.exe Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows.. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition). Sprawdź czy możesz uruchomić GMER. Dołącz też plik fixlog.txt .

W FRST opcja "Drivers MD5" nie miała być zaznaczona. Temat przenoszę do działu Windows 7, brak tu jakichkolwiek oznak infekcji. Czy coś się konkretnego dzieje, że temat został założony w dziale diagnostyki infekcji? PS. Pozbądź się naciągacza SpyHunter - program z czarnej listy! Możesz też wykonać kosmetyczne działania (usunięcie wpisów pustych i czyszczenie Tempów), ale to nie będzie mieć odbicia w lepszej wydajności / przyśpieszeniu. Sprawy błahe. 1. Odinstaluj SpyHunter. A ta staroć Gadu-Gadu 7.7 może być zamieniona np. WTW: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 .EsetTrialReset; C:\Windows\system32\regedt32.exe /s C:\Windows\esettrialreset.reg S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 StarOpen; No ImagePath Startup: C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rejestrowanie produktów Corela.lnk Task: {8014FDF0-E3A9-4857-93F0-F1AF598BFA64} - System32\Tasks\{693EC7DF-A134-44B8-9FB8-72A7AA864B07} => pcalua.exe -a K:\Autorun.exe -d K:\ Task: {E4280E5E-AC44-4C19-9F90-D320553141F8} - System32\Tasks\{6E671F07-AFAD-420A-BDC6-FDA16D16C598} => pcalua.exe -a "E:\Skispringen 2007\skispringen2007.exe" -d "E:\Skispringen 2007" HKU\S-1-5-21-4048412729-2036225566-221526367-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p156 URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} FF NetworkProxy: "share_proxy_settings", true FF NetworkProxy: "type", 0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3Filter\Documentation (rus)\AC3Filter & SPDIF.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RTL Playtainment C:\Users\Pat\AppData\Local\5A317C70-6484-4E48-B53D-D52C217B11C7.aplzod C:\Users\Pat\Desktop\Dokumenty\docs\Free Download Manager.lnk C:\Users\Pat\Documents\Corel\CorelDRAW X5 Samples\target.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Tym razem Fix wykonał się poprawnie. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\Administrator\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\34a523096e6ee07a C:\Documents and Settings\All Users\Dane aplikacji\3793476784543948922 C:\Documents and Settings\All Users\Dane aplikacji\Age of Empires 3 C:\Documents and Settings\All Users\Dane aplikacji\ALLPlayerRemote C:\Documents and Settings\All Users\Dane aplikacji\AVS4YOU C:\Documents and Settings\All Users\Dane aplikacji\DowwnlOOad keeppeR C:\Documents and Settings\All Users\Dane aplikacji\Garena C:\Documents and Settings\All Users\Dane aplikacji\GarenaMessenger C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate C:\Documents and Settings\All Users\Dane aplikacji\KONAMI C:\Documents and Settings\All Users\Dane aplikacji\lglkjjedhjmhekkgakggcilmnlfocdfk C:\Documents and Settings\All Users\Dane aplikacji\LogMeIn C:\Documents and Settings\All Users\Dane aplikacji\Logs C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\Nexon C:\Documents and Settings\All Users\Dane aplikacji\NexonEU C:\Documents and Settings\All Users\Dane aplikacji\Overwolf C:\Documents and Settings\All Users\Dane aplikacji\Panda Security C:\Documents and Settings\All Users\Dane aplikacji\PriceMeterLiveUpdate C:\Documents and Settings\All Users\Dane aplikacji\Screaming Bee C:\Documents and Settings\All Users\Dane aplikacji\SearchNewTab C:\Documents and Settings\All Users\Dane aplikacji\Solidshield C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\surf And keep C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\All Users\Dane aplikacji\YoutubeAdblocker C:\Documents and Settings\All Users\Dane aplikacji\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D} C:\Documents and Settings\All Users\Dane aplikacji\{CED89F1A-945F-46EC-B23C-5EAF6D2DB12A} C:\Documents and Settings\Dawid\Dane aplikacji\24574 C:\Documents and Settings\Dawid\Dane aplikacji\aartemis C:\Documents and Settings\Dawid\Dane aplikacji\ap_logs C:\Documents and Settings\Dawid\Dane aplikacji\Apple Computer C:\Documents and Settings\Dawid\Dane aplikacji\Audacity C:\Documents and Settings\Dawid\Dane aplikacji\BESTplayer C:\Documents and Settings\Dawid\Dane aplikacji\Garena C:\Documents and Settings\Dawid\Dane aplikacji\GarenaPlus C:\Documents and Settings\Dawid\Dane aplikacji\GetPrivate C:\Documents and Settings\Dawid\Dane aplikacji\Metin2-Balmora C:\Documents and Settings\Dawid\Dane aplikacji\NapiProjekt C:\Documents and Settings\Dawid\Dane aplikacji\Panda Security C:\Documents and Settings\Dawid\Dane aplikacji\PriceMeterUpdater C:\Documents and Settings\Dawid\Dane aplikacji\Protect C:\Documents and Settings\Dawid\Dane aplikacji\QBSHXT C:\Documents and Settings\Dawid\Dane aplikacji\QBSHXT.exe C:\Documents and Settings\Dawid\Dane aplikacji\Screaming Bee C:\Documents and Settings\Dawid\Dane aplikacji\SpeedBit C:\Documents and Settings\Dawid\Dane aplikacji\Sun C:\Documents and Settings\Dawid\Dane aplikacji\SwvUpdater C:\Documents and Settings\Dawid\Dane aplikacji\Tibia C:\Documents and Settings\Dawid\Dane aplikacji\TweakNow RegCleaner C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\AlienShooter2 Reloaded C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\CrashRpt C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Garena C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\GG C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\iWebar C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\LogMeIn C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\LogMeIn Hamachi C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Object Browser C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\OpenFM C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Overwolf C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeterLiveUpdate C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Purplizer C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\SearchProtect C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\AVS4YOU C:\Program Files\BearShare Applications C:\Program Files\Bench C:\Program Files\BuyyNsavEE C:\Program Files\Deal Keeper C:\Program Files\FLV Video Player C:\Program Files\Garena Plus C:\Program Files\GOG.com C:\Program Files\KONAMI C:\Program Files\NapiProjekt C:\Program Files\Panda Security C:\Program Files\Pando Networks C:\Program Files\predm C:\Program Files\PriceMeterLiveUpdate C:\Program Files\Reimageplus.com C:\Program Files\SearchNewTab C:\Program Files\Sk.Enabler C:\Program Files\STab C:\Program Files\VideoLAN C:\Program Files\Warcraft III - The Frozen Throne C:\Program Files\webget C:\Program Files\WebSearch C:\Program Files\WebSpades Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Problemem nie jest infekcja. Obciążenie systemu i długi start = najbardziej podejrzany McAfee, jest bardzo rozbudowany (mnóstwo usług i sterowników się uruchamia). Proponuję więc sprawdzić jak działa system po jego deinstalacji. Owszem, problem adware także tu jest i ComboFix usuwał (niedokładnie) określone obiekty, ale to nie jest przyczyna problemów. Użycie tu ComboFix nie było dobrym pomysłem z kilku względów: - Adware nie zostało poprawnie odinstalowane. Skutki: na liście zainstalowanych obecnie "wiszą" wpisy brutalnie usuniętych przez ComboFix obiektów. - Do czyszczenia adware są lepsze bardziej specjalizowane narzędzia niż ComboFix. Działania wstępne: 1. Przez Panel sterowania odinstaluj: Adobe Reader X (10.1.13) MUI, Java SE Development Kit 7 Update 17 (64-bit), Java SE Development Kit 7 Update 51 (64-bit), JavaFX 2.1.1, McAfee SecurityCenter, McAfee SiteAdvisor, MyFreeCodec. Proponuję też dokładniej przejrzeć listę i pozbyć się nieużywanych programów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1620440060-2774587105-184453412-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=BA60685D437CC965 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=BA60685D437CC965 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {49D52718-9182-4735-931A-7D93EBD1299F} URL = SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {F2D3BE99-5CF2-4FD3-870A-B6017BE01715} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=C1F47A9D-8F8A-40C7-AB89-A0C729906138&apn_sauid=FAC3B708-6AA4-4B35-99D2-3A0447F8B235 BHO-x32: WoebsaaVe -> {0EF9B24D-1522-0100-E9FB-4FDB3BEF8613} -> No File BHO-x32: weBsavE -> {8B6F2AD6-E5D7-0997-C979-F2FC3821207E} -> No File BHO-x32: SNT -> {EB582856-4086-A3BD-4351-33E83F8C323B} -> No File BHO-x32: YoutubeAdblocker -> {F4576C82-5942-164A-3ACD-1D3B75137B32} -> No File Task: {3A992151-5590-4CC3-8A8A-7F11A4B2792E} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect Task: {4925CDC1-6FA9-4857-B83E-92410C0D5AFB} - System32\Tasks\{47BD6A46-6487-44A3-A6CC-AAB40C590D55} => pcalua.exe -a "C:\Users\RT2\Desktop\PND32GB\PEN Data\Wirus POLICJA\ComboFix.exe" -d "C:\Users\RT2\Desktop\PND32GB\PEN Data\Wirus POLICJA" Task: {6AE9079E-9886-487D-A166-64860266E77F} - System32\Tasks\{55721E0C-E21A-4835-B398-E22E69295D24} => pcalua.exe -a "C:\Users\RT2\Desktop\TL-WR740N_V4_Easy Setup Assistant\wr741n\EasySetupAssistant.exe" -d "C:\Users\RT2\Desktop\TL-WR740N_V4_Easy Setup Assistant\wr741n" Task: {7D0E666C-6F78-4CEB-8CDA-F909385057BD} - System32\Tasks\{1D9B899B-E750-4B62-ADED-B319C3D259DD} => pcalua.exe -a C:\Users\RT2\AppData\Local\Temp\RarSFX0\Instaluj_SAM_st.exe Task: {AF8408A4-11F5-4582-813A-B77F785FA21B} - System32\Tasks\{1ABC53D5-9892-4DB9-B038-8230574ABF5B} => pcalua.exe -a D:\Apps\Nokia_PC_Suite_ALL.exe -d D:\Apps Task: {B3113BF6-03D1-4A8A-B4C3-77CB15C61950} - System32\Tasks\{CCC7E120-C0F4-4C06-9F63-9A34E6E2A863} => pcalua.exe -a C:\Users\RT2\Desktop\Chipset_Intel_W7_X03_A01_Setup-8JF3Y_ZPE.exe -d C:\Users\RT2\Desktop Task: {BD249304-E26C-4216-AB14-C787DD09B87F} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 0203001424724882mcinstcleanup; C:\Windows\TEMP\020300~1.EXE -cleanup -nolog [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 iscFlash; \??\C:\Users\RT2\AppData\Local\Temp\7zS4182.tmp\iscflashx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Users\Administrator C:\Users\Gość C:\users\HomeGroupUser$ C:\Users\RT2\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\RT2\AppData\Local\Comodo C:\Users\RT2\AppData\Local\Google\Chrome SxS C:\Users\RT2\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\RT2\AppData\Local\Mozilla C:\Users\RT2\AppData\Local\Torch C:\Users\RT2\AppData\Roaming\Mozilla C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Comodo C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Google C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Torch C:\Windows\system32\Drivers\PROCEXP90.SYS C:\Windows\SysWOW64\CF22844.exe C:\Windows\SysWOW64\cmd.execf CMD: for /d %f in (C:\Users\RT2\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS6ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoforFilesInstaller Starter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{476D78C4-1DB0-2D88-7FCC-AA6559F59A8D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C670DCAE-E392-AA32-6F42-143C7FC4BDFD} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CF830981-8F31-C561-C7A0-FE2CE1878B40} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji pakietu McAfee jest jakaś poprawa w działaniu systemu.

sylwia18, zakładanie nowego tematu było zbędne, należało kontynuować w rozpoczętym pierwotnie uzupełniając po prostu wymaganew dane. Tematy skleiłam. Nadal brak obowiązkowego raportu z GMER - widzę, że pobrałaś, czy był jakiś problem z jego uruchomieniem? Jest tu kupa adware, stąd przynajmniej część problemów. Do wdrożenia następujące operacje: 1. Przez Panel sterowania odinstaluj adware key-find uninstall, Round World oraz stare wersje i zbędnik Adobe Flash Player ActiveX, Adobe Reader 8.1.0, HP Deskjet 2050 J510 series Badanie ulepszeń produktu, Java 7 Update 51. 2. W pasku adresów eksploratora wklej C:\ProgramData i ENTER. Ze środka przez SHIFT+DEL (omija Kosz) skasuj foldery mające "krzaczkowate / chińskie" nazwy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {31c21995-b861-4864-ab50-4a53fbca73d4}Gt; C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gt.sys [55824 2015-02-04] (StdLib) R1 {df8eec40-f909-439c-9ffe-3fee212f71b9}Gt; C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gt.sys [55824 2015-02-01] (StdLib) R1 {f545e6fb-3307-427c-99c9-d8fcad9fa830}Gt; C:\Windows\System32\drivers\{f545e6fb-3307-427c-99c9-d8fcad9fa830}Gt.sys [55824 2015-02-24] (StdLib) R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 Update Round World; C:\Program Files\Round World\updateRoundWorld.exe [401136 2015-02-25] () R2 Util Round World; C:\Program Files\Round World\bin\utilRoundWorld.exe [401136 2015-02-25] () HKLM\...\Run: [Tutorials] => [X] HKLM\...\Run: [tuto4pc_pl_6] => [X] HKU\S-1-5-19\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter HKU\S-1-5-20\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter AppInit_DLLs: c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll File Not Found Task: {6C937017-998B-45EC-847B-1D9A9A12D409} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {9218587D-3400-4E35-841F-136C269C0CDF} - System32\Tasks\{7F53928C-B69B-45FF-8DF6-9CEE0F87D78E} => pcalua.exe -a E:\DRV\CardR\setup.exe -d E:\ Task: {DBAC1A80-BA96-40DA-ADF0-979B012DB52F} - System32\Tasks\HPCustParticipation HP Deskjet 2050 J510 series => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe [2010-02-02] (Hewlett-Packard Co.) Task: {DBD82ED0-D04E-45F3-91A7-7439D07385DF} - System32\Tasks\RunAsStdUser => C:\Program Files\Desk 365\desk365.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=46350016EA531BD8&affID=123627&tt=230713_18220&tsp=4953 HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> 041f715e-11bc-4d78-a337-6288dda3b3df URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) BHO: Round World 1.0.0.7 -> {78549bde-b964-4d2a-b7b1-c4ac15ddff64} -> C:\Program Files\Round World\RoundWorldbho.dll (Round World) CHR HomePage: Default -> hxxp://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267" CHR HKLM\...\Chrome\Extension: [enhljpgmfjednccepebhodcpbdbdpjch] - C:\Windows\System32\jmdp\nte.crx [Not Found] CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - C:\Users\sylwia\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-01-23] CHR HKLM\...\Chrome\Extension: [nmoonbaejmnicidlabbfjlhmifkglmmf] - C:\ProgramData\ares\Premium.crx [Not Found] C:\Program Files\Desk 365 C:\Program Files\Mozilla Firefox C:\Program Files\Opera C:\Program Files\XTab C:\Program Files\Round World C:\ProgramData\IHProtectUpDate C:\Users\sylwia\AppData\Local\edsinstaller.txt-20121204.log C:\Users\sylwia\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\sylwia\AppData\Local\Mozilla C:\Users\sylwia\AppData\Local\Opera Software C:\Users\sylwia\AppData\Roaming\BabSolution C:\Users\sylwia\AppData\Roaming\Babylon C:\Users\sylwia\AppData\Roaming\Desk 365 C:\Users\sylwia\AppData\Roaming\key-find C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\22apple.lnk C:\Users\sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\sylwia\AppData\Roaming\Mozilla C:\Users\sylwia\AppData\Roaming\Opera Software C:\Users\sylwia\AppData\Roaming\PerformerSoft C:\Users\sylwia\AppData\Roaming\Systweak C:\Users\sylwia\AppData\Roaming\ZiggyTV C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\Adobe Reader Speed Launch.lnk.CommonStartup C:\Windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup C:\Windows\System32\jmdp C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gt.sys C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gt.sys C:\Windows\System32\drivers\{f545e6fb-3307-427c-99c9-d8fcad9fa830}Gt.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: sc config WinDefend start= demand CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\sylwia\AppData\Local CMD: dir /a C:\Users\sylwia\AppData\LocalLow CMD: dir /a C:\Users\sylwia\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany.

To nie jest pełny raport fixlog.txt, tylko jego końcowa częć po restarcie. FRST nie był w stanie usunąć własnego folderu "FRST-OlderVersion" i kończył po restarcie. Nie zauważyłam, że stamtąd uruchamiałeś FRST - to był błąd, bieżący FRST jest w innej ścieżce, starsza wersja jest przesuwana do tego nieszczęsnego folderu. W każdym razie to już nie gra roli, ta pierwsza część skryptu raczej się wykonała. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tak, sprawa jest już w pełni rozwiązana. Na koniec: 1. Dokasuj ten klucz starej Java 6. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj: HKEY_COCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216018FF} 2. Usuń pobrany FRST i inne narzędzia. Zastosuj też DelFix, wyczyść foldery Przywracania systemu oraz porównaj co wymaga aktualizacji: KLIK. 3. Nie wiem do końca co to za typ infekcji i co ona miała planowane. Na wszelki wypadek zmień wszystkie hasła logowania w serwisach (bank, poczta, serwisy społecznościowe, etc).

Tak, czyszczenie punktów się wykonuje w sytuacji gdy prowadzono jakieś modyfikacje obejmujące strefy nagrywane w punktach - tu np. Harmonogram zadań. Fix wykonany, skasuj pobrany FRST, następnie znajome kroki końcowe, tzn. DelFix i czyszczenie folderów Przywracania systemu. To tyle z mojej strony.