picasso

Fix FRST nie został wykonany do końca, zaciął się i nie przeszedł dalej. Poprawki: 1. Kolejne deinstalacje: - Zapomniałam napisać, odinstaluj też super stary Adobe Flash Player 10 ActiveX. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis ArcaBit Prerequistes > Dalej. 2. Włącz Przywracanie systemu, bo jest aktualnie wyłączone. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387389562&from=cor&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe http://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 OPR Extension: (GoHD) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke [2014-09-05] OPR Extension: (No Name) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\gkookgoofbomddkomagahpnpdcnebnad [2014-09-30] Task: C:\WINDOWS\Tasks\QBSHXT.job => C:\Documents and Settings\Dawid\Dane aplikacji\QBSHXT.exe CMD: del /q /s C:\HELP_DECRYPT.* C:\Documents and Settings\All Users\Dane aplikacji\{368b4672-9c59-d15d-368b-b46729c519ca} C:\Documents and Settings\All Users\Dane aplikacji\{d00e78e3-431d-94b0-d00e-e78e3431e38d} C:\Documents and Settings\All Users\Dane aplikacji\6e6d0694000012a9 C:\Documents and Settings\All Users\Dane aplikacji\e6ca635800005e96 C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3F1368BB-2CAB-437B-955B-0ABDD7D77663} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{4681CF98-DA5F-485A-81FF-A001319C2A9C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{64FD8434-9478-42BA-853F-915FEDC87106} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9AB9BD24-02AB-4FFA-A50C-D6C925B25169} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\All Users\Menu Start\Programy\DangeSecond C:\Documents and Settings\All Users\Menu Start\Programy\GAMESDESKTOP C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome C:\Documents and Settings\All Users\Menu Start\Programy\KONAMI C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Games C:\Documents and Settings\All Users\Menu Start\Programy\PESEdit.com 2013 Patch C:\Documents and Settings\All Users\Menu Start\Programy\Ubisoft C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk C:\Documents and Settings\Dawid\TempWmicBatchFile.bat C:\Documents and Settings\Dawid\Dane aplikacji\.lockfile C:\Documents and Settings\Dawid\Dane aplikacji\aps.uninstall.scan.results C:\Documents and Settings\Dawid\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\NGSFIZU.exe C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA.exe C:\Documents and Settings\Dawid\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\AnyProtectEx C:\Documents and Settings\Dawid\Dane aplikacji\AVS4YOU C:\Documents and Settings\Dawid\Dane aplikacji\GG C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\PlayTasks C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Dane aplikacji\newnext.me C:\Documents and Settings\Dawid\Dane aplikacji\omiga-plus C:\Documents and Settings\Dawid\Dane aplikacji\onlysearch C:\Documents and Settings\Dawid\Dane aplikacji\OpenFM C:\Documents and Settings\Dawid\Dane aplikacji\OpenOffice.org2 C:\Documents and Settings\Dawid\Dane aplikacji\systweak C:\Documents and Settings\Dawid\Dane aplikacji\webssearches C:\Documents and Settings\Dawid\Menu Start\Programy\BitLord C:\Documents and Settings\Dawid\SendTo\Android (ALLPlayer Pilot).lnk C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\*.tmp C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\proxy.log C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Doctor_PC C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\gmsd_pl_53 C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\SmartWeb C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\LogMeIn Hamachi C:\Program Files\7208fe53-6a12-4f5c-8449-0179fe1ab100 C:\Program Files\AdvanceElite C:\Program Files\AnyProtectEx C:\Program Files\Cyti Web C:\Program Files\ClickMovie1-Downloaderv10 C:\Program Files\ChromeEnhancer C:\Program Files\Doctor PC C:\Program Files\doctorpclab.com C:\Program Files\globalUpdate C:\Program Files\GetPrivate C:\Program Files\GoHD C:\Program Files\Google C:\Program Files\gmsd_pl_53 C:\Program Files\Mozilla Firefox C:\Program Files\Reimage C:\Program Files\SavePass 1.1 C:\Program Files\SupTab C:\Program Files\TheTorntv V10 C:\Program Files\Common Files\System\SysMenu.dll C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\TornTvDownloader.lnkStartup C:\WINDOWS\system32\OptimizerMonitor.ini C:\WINDOWS\system32\OptimizerMonitorOff.ini C:\WINDOWS\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}t.sys C:\WINDOWS\System32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}t.sys C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys C:\WINDOWS\System32\drivers\{9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys C:\WINDOWS\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}t.sys C:\WINDOWS\System32\drivers\{e6ca9971-30ed-444a-9489-82fca50b2062}t.sys C:\WINDOWS\System32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t.sys Hosts: Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GoHD /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Dawid^Menu Start^Programy^Autostart^TornTvDownloader.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_185" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GarenaPlus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Only-search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceMeterW" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upfst_pl_185.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Documents and Settings\Administrator\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Program Files" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Log z GMER robiłeś w złym środowisku, przy czynnym emulatorze SPTD: KLIK. R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [477240 2012-06-13] (Duplex Secure Ltd.) Jedyne co widać w raporcie, to sterownik adware grupy Sambreel i kilka drobnych adresów adware w IE, a także multi-instancje iexplore.exe (to podejrzane, o ile nie był uruchomiony ręcznie). Sterownik adware chyba nie jest przyczyną samoistnego otwierania stron we wszystkich przeglądarkach. Objawy brzmią nieco jak infekcja DNS routera, choć adres pobierany z routera nie wykazuje w logu szkodników (widać tylko IP routera), a Ty podkreślasz, że inne komputery korzystające z tej samej sieci nie mają problemu. Jaki model TP-Link jest tu na chodzie? Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 Na razie usuń widoczne obiekty adware i zobaczymy co z tego wyniknie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}t; C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys [55232 2014-04-24] (StdLib) HKU\S-1-5-21-861567501-484763869-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=HP_ss&mntrId=ccddf50d000000000000001cbf4a0100 HKU\S-1-5-21-861567501-484763869-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=NT_ss&mntrId=ccddf50d000000000000001cbf4a0100" SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=ccddf50d000000000000001cbf4a0100 SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=ccddf50d000000000000001cbf4a0100 SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> {24979725-5596-4B9B-B829-4B2F8D0D21FC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=EE28BC37-4157-49A6-ADC4-592A5CA9F98B&apn_sauid=48EFEF88-DC5F-48CE-9F68-1BA113641AA0 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-861567501-484763869-682003330-1004_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Borowicz\Pulpit\BESTPL~1.EXE No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81548713.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81548713.sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab C:\Documents and Settings\Borowicz\Dane aplikacji\Babylon C:\Documents and Settings\Borowicz\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Borowicz\Pulpit\Nieużywane ikony\Adobe Reader X.lnk C:\Documents and Settings\Borowicz\Pulpit\Nieużywane ikony\Bullzip PDF Printer.lnk C:\Documents and Settings\Borowicz\Ustawienia lokalne\Dane aplikacji\APN C:\Program Files\Common Files\Java(2) C:\Program Files\Kaspersky Lab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER (po usunięciu sterownika SPTD + restart systemu). Dołącz też plik fixlog.txt oraz wszystkie logi z folderu C:\AdwCleaner (był używany, nie uruchamiaj ponownie, chodzi o poprzednie wyniki). Wypowiedz się czy są jakiekolwiek zmiany.

Główny podejrzany: COMODO Internet Security. By się o tym przekonać, testowa deinstalacja, gdyż tylko to gwarantuje ustanie wszystkich czynności, wyłączanie w opcjach niestety nie. Druga sprawa to fatalny stan aktualizacji systemu - brak SP1, IE11 i rezty łat: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome) Ukryty folder VTRoot jest folderem Comodo związanym z funkcją piaskownicy. Trzyma dane wirtualizowane, zostanie opróżniony po zresetowaniu piaskownicy. 2015-02-06 16:14 - 2015-02-11 15:03 - 00000000 ___HD () C:\VTRoot Samoistne przestawienie opcji ukrywania obiektów to już inna sprawa - prawdopodobnie zrobił to Brontok (patrz dalej). Możliwe, że to także jest związane z COMODO. Były na forum dwa tematy związane z pokazywaniem dziwnej zniekształconej ikony: KLIK, KLIK. Nie zaprezentowałeś wyników, by można było ocenić stopień ważności i czy to aby nie fałszywe alarmy. Brak oznak czynnej infekcji, ale owszem są ślady że ona była, a konkretnie są tu źle doczyszczone obiekty robaka Brontok (plik HOSTS ze śmieciami HTML i kilka innych drobnych wpisów). Widać też szczątki adware. Niemniej żaden z tych wpisów nie jest odpowiedzialny za zgłaszane bieżące problemy. Drobne działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędnik COMODO: Adobe Flash Player ActiveX, Java 7 Update 71 (64-bit), GeekBuddy. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj niepożądane rozszerzenie Foxtab Speed Dial. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" Task: {375F213B-2231-40EB-82C7-57CF8C981A88} - System32\Tasks\{80FF1741-8C57-4297-A63E-A286FF66ADEC} => C:\Users\Bartek\Downloads\battlelog-web-plugins_2.6.2_154.exe Task: {3B6238C6-9138-4025-B6BE-B24C157204AF} - System32\Tasks\{08F88807-8246-4C45-9511-EF6370C72ADF} => C:\Users\Bartek\Downloads\battlelog-web-plugins_2.6.2_154.exe HKU\S-1-5-21-1318935594-1313143014-225757962-1000\...\Policies\system: [DisableCMD] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://home.sweetim.com/?crg=3.1010000.10011 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U3 kwrdipob; \??\C:\Users\Bartek\AppData\Local\Temp\kwrdipob.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Download Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\This War of Mine C:\Users\Bartek\AppData\Local\Bron.tok.A15.em.bin C:\Users\Bartek\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Bartek\AppData\Local\ListHost15.txt C:\Users\Bartek\AppData\Local\Update.15.Bron.Tok.bin C:\Users\Bartek\AppData\Local\CrashRpt C:\Windows\system32\Drivers\etc\hosts.ccebak CMD: for /d %f in (C:\Users\Bartek\AppData\Local\*Bron*) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Problemów jest tu sporo: infekcja szyfrująca dane oraz adware, adware przekonwertowao także przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja przeglądarki. Wstępne działania: 1. Przez Dodaj/Usuń programy odinstaluj adware i poszkodowaną przeglądarkę: Bundled software uninstaller, GamesDesktop 008.53, GoHD, Google Chrome, omiga-plus uninstall, webssearches uninstall. Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji zaznacz Usuń także dane przeglądarki, a resztę Google doczyści punkt 2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}t; C:\WINDOWS\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}t.sys [55816 2014-12-02] (StdLib) R1 {5178f938-0bd5-47c1-8242-71f6e3e72925}t; C:\WINDOWS\System32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}t.sys [55232 2014-07-09] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}t; C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys [55232 2014-07-17] (StdLib) R1 {9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt; C:\WINDOWS\System32\drivers\{9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt.sys [55832 2015-02-20] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys [55224 2014-04-28] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}t; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys [55224 2014-04-28] (StdLib) R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}t; C:\WINDOWS\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}t.sys [55816 2014-12-01] (StdLib) R1 {e6ca9971-30ed-444a-9489-82fca50b2062}t; C:\WINDOWS\System32\drivers\{e6ca9971-30ed-444a-9489-82fca50b2062}t.sys [55048 2014-09-02] (StdLib) R1 {e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t; C:\WINDOWS\System32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t.sys [55872 2015-02-20] (StdLib) R2 ChromeEnhancer; C:\Program Files\ChromeEnhancer\ChromeEnhancer.exe [47104 2015-01-30] () [File not signed] S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-20] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-20] (globalUpdate) [File not signed] R2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [715656 2014-09-02] (Cherished Technololgy LIMITED) R2 IHProtect Service; C:\Program Files\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) S3 cpuz134; \??\C:\DOCUME~1\Dawid\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GGSAFERDriver; \??\C:\Program Files\Garena Plus\Room\safedrv.sys [X] S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X] S3 SPBIUpdd; \??\C:\Program Files\Common Files\ShopperPro\spbiw.sys [X] S1 ttnfd; system32\drivers\ttnfd.sys [X] HKLM\...\Run: [gmsd_pl_53] => C:\Program Files\gmsd_pl_53\gmsd_pl_53.exe [3984040 2015-02-19] () HKLM\...\Run: [upgmsd_pl_53.exe] => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\gmsd_pl_53\upgmsd_pl_53.exe [3355816 2015-02-19] () HKU\S-1-5-21-606747145-1592454029-1417001333-1003\...\Run: [NextLive] => C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Dawid\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l Startup: C:\Documents and Settings\Dawid\Menu Start\Programy\Autostart\OPTISetup.lnk Startup: C:\Documents and Settings\Dawid\Menu Start\Programy\Autostart\superpc_soft_partner.lnk Task: C:\WINDOWS\Tasks\3402a321-a57a-4603-89d0-0b6eba94e2c0-1.job => C:\Program Files\ClickMovie1-Downloaderv10\ClickMovie1-Downloaderv10-codedownloader.exe Task: C:\WINDOWS\Tasks\3402a321-a57a-4603-89d0-0b6eba94e2c0-4.job => C:\Program Files\ClickMovie1-Downloaderv10\3402a321-a57a-4603-89d0-0b6eba94e2c0-4.exe Task: C:\WINDOWS\Tasks\3402a321-a57a-4603-89d0-0b6eba94e2c0-5.job => C:\Program Files\ClickMovie1-Downloaderv10\3402a321-a57a-4603-89d0-0b6eba94e2c0-5.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-1.job => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-11.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-11.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-2.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-2.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-3.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-3.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-4.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-4.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-5.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-5.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-6.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-6.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-7.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-7.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-1.job => C:\Program Files\GoHD\GoHD-codedownloader.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-11.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-11.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-2.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-2.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-4.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-4.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-5.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-5.exe Task: C:\WINDOWS\Tasks\7b27892f-9c0e-4d94-ab4b-524d430a59b1.job => C:\Program Files\TheTorntv V10\7b27892f-9c0e-4d94-ab4b-524d430a59b1.exe/agentregpath='TheTorntv V10' /appid=63311 /srcid='001823' /subid='0' /zdata='0' /bic=33CCE80B126E46378844B8A609F35A71IE /verifier=0657a018fc4853a0450dcef5eb9451d2 /installerversion=1_35_09_16 /installationtime=1410973725 /statsdomain=http://stats.newclientonlinestorage.com /errorsdomain=http://errors.newclientonlinestorage.com /extensionname='Information' /torpedoiesleeps=1000 /torpedoieplugins=93-0,102-0,104-0,184-0 /monetizationdomain=http://logs.newclientonlinestorage.com Task: C:\WINDOWS\Tasks\9325da68-8615-4364-b2bd-8eb78d86a22e.job => C:\Program Files\TheTorntv V10\9325da68-8615-4364-b2bd-8eb78d86a22e.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-6.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-6.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-7.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-7.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-6.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-6.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-7.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-7.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Dawid\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\DoctorPC_Popup.job => C:\Program Files\Doctor PC\Splash.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GPUP.job => C:\Program Files\GetPrivate\gpup.exe Task: C:\WINDOWS\Tasks\QUZOPZA.job => C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA.exe Task: C:\WINDOWS\Tasks\ReimageUpdater.job => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: C:\WINDOWS\Tasks\SMupdate1.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\temp_69037c5f-2c0a-49fe-be01-5222fdddafcf-2.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-2.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} HKU\S-1-5-21-606747145-1592454029-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKU\S-1-5-21-606747145-1592454029-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.only-search.com/?babsrc=NT_kms&affID=129300&tt=&mntrid=24A46C626D0EA94A&tsp=5386" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchsunmy.info/?l=1&q={searchTerms}&pid=377&r=2013/12/24&hid=8686324548370343708&lg=EN&cc=PL&unqvl=45 SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {017B1142-A96A-4461-B10F-2974A51DA370} URL = http://www.only-search.com/?babsrc=SP_kms&affID=129300&tt=&mntrid=24A46C626D0EA94A&tsp=5386&q={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.only-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=24A46C626D0EA94A&affID=129300&tsp=5386 SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchsunmy.info/?l=1&q={searchTerms}&pid=377&r=2013/12/24&hid=8686324548370343708&lg=EN&cc=PL&unqvl=45 BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387389562&from=cor&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe http://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 OPR Extension: (GoHD) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke [2014-09-05] OPR Extension: (No Name) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\gkookgoofbomddkomagahpnpdcnebnad [2014-09-30] CMD: del /q /s C:\HELP_DECRYPT.* C:\Documents and Settings\All Users\Dane aplikacji\{368b4672-9c59-d15d-368b-b46729c519ca} C:\Documents and Settings\All Users\Dane aplikacji\{d00e78e3-431d-94b0-d00e-e78e3431e38d} C:\Documents and Settings\All Users\Dane aplikacji\6e6d0694000012a9 C:\Documents and Settings\All Users\Dane aplikacji\e6ca635800005e96 C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3F1368BB-2CAB-437B-955B-0ABDD7D77663} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{4681CF98-DA5F-485A-81FF-A001319C2A9C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{64FD8434-9478-42BA-853F-915FEDC87106} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9AB9BD24-02AB-4FFA-A50C-D6C925B25169} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\All Users\Menu Start\Programy\DangeSecond C:\Documents and Settings\All Users\Menu Start\Programy\GAMESDESKTOP C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome C:\Documents and Settings\All Users\Menu Start\Programy\KONAMI C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Games C:\Documents and Settings\All Users\Menu Start\Programy\PESEdit.com 2013 Patch C:\Documents and Settings\All Users\Menu Start\Programy\Ubisoft C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk C:\Documents and Settings\Dawid\TempWmicBatchFile.bat C:\Documents and Settings\Dawid\Dane aplikacji\.lockfile C:\Documents and Settings\Dawid\Dane aplikacji\aps.uninstall.scan.results C:\Documents and Settings\Dawid\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\NGSFIZU.exe C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA.exe C:\Documents and Settings\Dawid\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\AnyProtectEx C:\Documents and Settings\Dawid\Dane aplikacji\AVS4YOU C:\Documents and Settings\Dawid\Dane aplikacji\GG C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\PlayTasks C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Dane aplikacji\newnext.me C:\Documents and Settings\Dawid\Dane aplikacji\omiga-plus C:\Documents and Settings\Dawid\Dane aplikacji\onlysearch C:\Documents and Settings\Dawid\Dane aplikacji\OpenFM C:\Documents and Settings\Dawid\Dane aplikacji\OpenOffice.org2 C:\Documents and Settings\Dawid\Dane aplikacji\systweak C:\Documents and Settings\Dawid\Dane aplikacji\webssearches C:\Documents and Settings\Dawid\Menu Start\Programy\BitLord C:\Documents and Settings\Dawid\SendTo\Android (ALLPlayer Pilot).lnk C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\*.tmp C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\proxy.log C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Doctor_PC C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\gmsd_pl_53 C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\SmartWeb C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\LogMeIn Hamachi C:\Program Files\7208fe53-6a12-4f5c-8449-0179fe1ab100 C:\Program Files\AdvanceElite C:\Program Files\AnyProtectEx C:\Program Files\Cyti Web C:\Program Files\ClickMovie1-Downloaderv10 C:\Program Files\ChromeEnhancer C:\Program Files\Doctor PC C:\Program Files\doctorpclab.com C:\Program Files\globalUpdate C:\Program Files\GetPrivate C:\Program Files\GoHD C:\Program Files\Google C:\Program Files\gmsd_pl_53 C:\Program Files\Mozilla Firefox C:\Program Files\Reimage C:\Program Files\SavePass 1.1 C:\Program Files\SupTab C:\Program Files\TheTorntv V10 C:\Program Files\Common Files\System\SysMenu.dll C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\TornTvDownloader.lnkStartup C:\WINDOWS\system32\OptimizerMonitor.ini C:\WINDOWS\system32\OptimizerMonitorOff.ini C:\WINDOWS\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}t.sys C:\WINDOWS\System32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}t.sys C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys C:\WINDOWS\System32\drivers\{9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys C:\WINDOWS\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}t.sys C:\WINDOWS\System32\drivers\{e6ca9971-30ed-444a-9489-82fca50b2062}t.sys C:\WINDOWS\System32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t.sys Hosts: Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Dawid^Menu Start^Programy^Autostart^TornTvDownloader.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_185" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GarenaPlus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Only-search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceMeterW" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upfst_pl_185.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Documents and Settings\Administrator\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Program Files" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Operze w rozszerzeniach odinstaluj GoHD. Możliwe że widać tam coś więcej. Jeśli tak, to odinstaluj wszystko z wyjątkiem pozycji "Adblock Plus". 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Fix wykonany, czy na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu. A tak, niestety to nie pierwszy przykład, że kopiowanie za pomocą Internet Explorer powoduje sklejenie wszystkiego. Problem nie dotyczy tylko starej wersji IE8, na nowszych też to występowało na forum. Java 8 nie jest oficjalnie wspierana, ale działa na XP. Niemniej asekuracyjnie możesz zainstalować ze strony Oracle (tam jest nadal linkowana starsza seria) ostatnią z wersji Java 7 - czyli Java SE 7u75/76. Java 7 i tak jest wycofywana z obiegu i wkrótce wszyscy będą migrowani na Java 8 - nie wiem jak to się ma do komunikatów na temat braku oficjalnego supportu dla XP.

Mam wszystkie pliki. Pobierz paczkę "Pliki.zip": KLIK. 1. Plik msi.dll umieść w utworzonym tymczasowym folderze C:\TMP. W Notatniku przygotuj plik fixlist.txt o treści: CMD: copy /y C:\TMP\msi.dll C:\Windows\winsxs\wow64_microsoft-windows-installer-engine_31bf3856ad364e35_6.1.7601.18637_none_6be27a10fe92a5ec\msi.dll CMD: copy /y C:\TMP\msi.dll C:\Windows\SysWOW64\msi.dll Plik fixlist.txt oraz FRST umieść na pendrive. Przy starcie komputera F8 > Napraw komputer > Wiersz polecenia > uruchom FRST: KLIK. W FRST wybierz opcję Fix, na pendrive powstanie fixlog.txt. Zaloguj się ponownie do Windows i przedstaw go. 2. Pozostałe pliki umieść w folderze C:\Windows\Temp\CheckSur\WinSxS\Manifests. Uruchom ponownie "Narzędzie analizy gotowości aktualizacji systemu", powinno wykorzystać podstawione pliki do naprawy. Przedstaw wynikowy checksur.log.

Logi z przestarzałego OTL nie są tu brane pod uwagę. Proszę czytaj zasady danego forum, gdy prosisz o pomoc. Obowiązkowe logi tego forum są wymienione w ogłoszeniu: KLIK.

Na przyszłość: proszę w pierwszej kolejności odinstaluj adware za pomocą Panelu sterowania (szukaj nieznanych / podejrzanych / świeżo dodanych) > potem w menedżerach przeglądarek > na końcu dopiero automaty. AdwCleaner nie prowadzi deinstalacji i brutalnie usuwa obiekty, to ma skutki uboczne (więcej śmieci zostaje, martwe wejścia deinstalacyjne, w specyficznych okolicznościach uszkodzenie w systemie). Tu można było uniknąć awarii. Co się stało: nie został poprawnie odinstalowany IGS / igsc, AdwCleaner na chama kasował pliki - krytycznym był OptimizerMonitor.dll wpięty w łańcuch sieciowy Winsock, nastąpiło uszkodzenie Winsock: Winsock: Catalog9 01 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 02 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 03 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 04 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 15 C:\Windows\system32\OptimizerMonitor.dll File Not found () To nie jedyny problem w systemie - nadal jest adware, a także stara infekcja Live Security Platinum + ZeroAccess źle czyszczona w przeszłości. Działania naprawcze: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader X (10.1.3) - Deutsch, Java™ 6 Update 32. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [gmsd_de_136] => [X] HKLM-x32\...\Run: [gmsd_de_138] => [X] HKLM-x32\...\Run: [gmsd_de_147] => [X] HKLM-x32\...\Run: [gmsd_de_158] => [X] HKLM-x32\...\Run: [gmsd_de_166] => [X] HKLM-x32\...\Run: [gmsd_de_172] => [X] HKLM-x32\...\Run: [gmsd_de_179] => [X] HKU\S-1-5-21-495053369-2026751637-1525330651-1000\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Barbara\AppData\Local\{2c249d82-45f6-5c40-d998-c76cef35739b}\n. ATTENTION! ====> ZeroAccess/Alureon? AppInit_DLLs: C:\Users\Barbara\AppData\Local\Ap\MTResources\spdrmn.dll => C:\Users\Barbara\AppData\Local\Ap\MTResources\spdrmn.dll File Not Found AppInit_DLLs-x32: c:\users\barbara\appdata\local\ap\mtresources\btmn.dll => "c:\users\barbara\appdata\local\ap\mtresources\btmn.dll" File Not Found Task: {3DA0556B-1600-4672-BD50-73A843130B1F} - System32\Tasks\{D4570679-7195-412B-A280-808300FC6547} => pcalua.exe -a C:\ProgramData\GoldenCoupon\GoldenCoupon.exe -c /progname=GoldenCoupon /progver=3.4.2 /progpub=GoldenCoupon /proguninstallurl=asdahjka.com /deleteappfolder=0 /VERYSILENT Task: {46810351-FFF5-480B-A6A5-3A6FFC24BB10} - System32\Tasks\{EF21C7D1-0348-4E48-B732-8DE9737E1823} => pcalua.exe -a F:\Asus\Audio\Audio_Realtek_Win7_64_Z6016373\Setup.exe -d F:\Asus\Audio\Audio_Realtek_Win7_64_Z6016373 Task: {7398F1EA-A97B-4643-8478-046ADDEEC373} - System32\Tasks\avayvxvaxc => C:\Users\Barbara\AppData\Local\avayvxvaxc\avayvxvaxc.exe [2015-02-15] () Task: {DC88DF28-10A7-42E2-A112-1EB225017731} - System32\Tasks\{0DFD9101-151D-4328-A470-C2949937DDF1} => pcalua.exe -a E:\Software\Installer.exe -d E:\Software GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-495053369-2026751637-1525330651-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.sonic-search.com/?p=mKO_AwFzXIpYRa4j3q-3hUPE4m9xhqQak5up5sscMEh1ixCLtAFtlMNNIr0b7wpWWkuwgiTa_LG3AGJ3-9VHydeQy5PDxdAVvSLRkysVXdtJJrwBeEq-PLQKAlmCjoVZXtMgk3NSEbwVF-RKgi9WT108Z_axcLgwfS17Kh0I&q={searchTerms} HKU\S-1-5-21-495053369-2026751637-1525330651-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.sonic-search.com/?p=mKO_AwFzXIpYRa4j3q-3hUPE4m9xhqQak5up5sscMEh1ixCLtAFtlMNNIr0b7wpWWkuwgiTa_LG3AGJ3-9VHydeQy5PDxdAVvSLRkysVXdtJJrwBeEq-PLQKAlmCjoVZXtMgk3NSEbwVF-RKgi9WT108Z_axcLgwfS17Kh0I&q={searchTerms} SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.sonic-search.com/?p=mKO_AwFzXIpYRa4j3q-3hUPE4m9xhqQak5up5sscMEh1ixCLtAFtlMNNIr0b7wpWWkuwgiTa_LG3AGJ3-9VHydeQy5PDxdAVvSLRkysVXdtJJrwBeEq-PLQKAlmCjoVZXtMgk3NSEbwVF-RKgi9WT108Z_axcLgwfS17Kh0I&q={searchTerms} BHO-x32: No Name -> {829d755a-a5e4-4056-8624-3ca82fb4b7d4} -> No File Toolbar: HKLM - No Name - {9eb324ca-1466-4907-8392-92c9f653a229} - No File Toolbar: HKLM-x32 - No Name - {9eb324ca-1466-4907-8392-92c9f653a229} - No File Toolbar: HKU\S-1-5-21-495053369-2026751637-1525330651-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\OptimizerMonitor => ""="service" C:\Program Files (x86)\Browser Good C:\Program Files (x86)\Moon Phase C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Open Tweet Filter C:\Program Files (x86)\PlusHD Cinema 2.1cV04.02 C:\Users\Barbara\AppData\Local\{2c249d82-45f6-5c40-d998-c76cef35739b} C:\Users\Barbara\AppData\Local\avayvxvaxc C:\Users\Barbara\AppData\Local\nsq13BF.tmp C:\Users\Barbara\AppData\Local\nsxFFAE.tmp Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{82B558C7-2A69-D3D5-B65A-DCAB3B65AD02} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PlusHD Cinema 2.1cV04.02" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Sieć wróci do życia. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p W menedżerze profilów Firefox usuń wszystkie z wyjątkiem bieżącego. Następnie uruchom bieżący profil i wyczyść go: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Barbara\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zestaw logów z FRST niekompletny - brak obowiazkowego pliku Shortcut - uzupełnij. I proszę dodać wszystkie raporty z folderu C:\AdwCleaner.

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadome co narzędzie robiło. Co tu się podaje jako obowiązkowe: KLIK.

Temat przenoszę do działu Windows. Był uruchamiany GMER. Do wykonania Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Cóż, w tym przypadku pierwszy podejrzany to BitDefender - bardzo rozbudowany układ startowy.

Tu nastąpił jakiś proces podmiany plików, powstały kopie BAK dla dwóch kluczowych plików: ==================== One Month Created Files and Folders ======== 2015-02-15 16:13 - 2015-02-15 16:13 - 05554112 _____ (Microsoft Corporation) C:\Windows\System32\ntoskrnl.bak 2015-02-15 16:13 - 2015-02-15 16:13 - 00605552 _____ (Microsoft Corporation) C:\Windows\System32\winload.bak ==================== One Month Modified Files and Folders ======= 2015-02-15 16:13 - 2013-12-23 13:19 - 00346112 _____ (Microsoft Corporation) C:\Windows\System32\bcdedit.exe 2015-02-15 16:13 - 2013-12-22 18:34 - 00605552 _____ (Microsoft Corporation) C:\Windows\System32\winload.exe Zasadniczy plik winload.exe jest niepoprawny, powinien mieć sumę 78C918D3612FE5937D32E488F053F10A jak jego kopia w katalogu Boot: ================== Search Files: "winload.exe" ============= C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe [2013-12-22 18:34][2015-02-15 16:13] 0605552 ____A (Microsoft Corporation) 24818326FC867D5B8E5B09AC4911E24F C:\Windows\System32\winload.exe [2013-12-22 18:34][2015-02-15 16:13] 0605552 ____A (Microsoft Corporation) 24818326FC867D5B8E5B09AC4911E24F C:\Windows\System32\Boot\winload.exe [2013-12-22 18:34][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A Dla porównania moje sumy kontrolne: ================== Search Files: "winload.exe" ============= C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] C:\Windows\System32\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] C:\Windows\System32\Boot\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] 1. Podmiana pliku winload.exe. Do Notatnika wklej: CMD: copy /y C:\Windows\System32\Boot\winload.exe C:\Windows\System32\winload.exe CMD: copy /y C:\Windows\System32\Boot\winload.exe C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe Plik zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST (F:). Uruchom FRST i klik w Fix. Dostarcz wynikowy plik fixlog.txt. 2. W związku z tym, że występuje tu także ntoskrnl.bak oraz widać odświeżenie edytora BCD, w polu Search wklep: bcdedit.exe;ntoskrnl.exe Klik w Search Files i dostarcz wyniki. 3. W artykule były wyliczane edycje BCD. Poproszę o ponowny raport FRST, lecz tym razem zaznacz opcję List BCD.

Ja natomiast uważam, że reinstalacja systemu jako taka (przy zachowaniu obecnej struktury partycji) nic nie wniesie do sprawy (pod warunkiem że chodzi tu o uprawnienia), bo problem tyczy partycji innej niż systemowa. Oniryczny, czy partycja jest dostępna z poziomu Trybu awaryjnego?

W raporcie nic podejrzanego. Z obrazka wynika, że chce się pobierać po prostu reklama z serwisu Onet w formacie SWF. To może być problem ze skojarzeniami typu MIME w Firefox. Proponuję przeładować skojarzenia plików: 1. Zamknij Firefox. Skasuj plik: C:\Users\Jarek\AppData\Roaming\Mozilla\Firefox\Profiles\v872orva.default\mimeTypes.rdf 2. Uruchom ponownie Firefox, wygeneruje nowy plik. Podaj czy problem nadal występuje.

Czy analizowałeś sprawę BSOD, czy po usunięciu Pandy problem nadal występuje? Mówiłam, by nie instalować nic nowego, a tu pojawił się Avast. Ale jeśli usunięcie zablokowanej Pandy spowodowało ustąpienie problemu resetów, to OK i nic już więcej bym nie robiła. I poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKU\S-1-5-18\...\RunOnce: [panda4_2dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_2dn" /f HKU\S-1-5-18\...\RunOnce: [panda] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda" /f HKU\S-1-5-18\...\RunOnce: [panda_XP] => reg.exe delete "HKCU\Software\panda" /f FF user.js: detected! => C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\va6uu8fo.default\user.js C:\Program Files (x86)\Panda Security C:\ProgramData\Panda Security C:\ProgramData\panda_url_filtering C:\Users\Adam\AppData\Roaming\Panda Security Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

W Dzienniku zdarzeń są błędy związane ze sterownikami ATI: Application errors: ================== Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:24:57 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:14:59 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Error: (02/23/2015 06:12:52 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC Jest tu stare oprogramowanie z 2011. Zainstalowana wersja menedżera: ATI Catalyst Install Manager (HKLM\...\{06921707-E9C9-FFE9-F4B8-7821B944BD43}) (Version: 3.0.808.0 - ATI Technologies, Inc.) Poszukaj na stronie producenta aktualizacji sterowników graficznych AMD (dawne ATI).

Jeśli nikt jeszcze nie odpisał, proszę używaj opcję Edytuj, by uzupełnić post, zamiast pisać post pod postem. Sklejam. Nie dostarczyłeś żadnych precyzyjnych danych - zasady działu np. mówią o tym, by dostarczyć raporty z FRST umożliwiające orientację co jest w systemie. Przypuszczalna przyczyna to COMODO. Był podobny temat na forum. Nie dostarczyłeś raportów FRST, na razie tylko tyle mogę powiedzieć. SpyHunter to naciągacz i wątpliwy program z czarnej listy! Deinstalacja permanentna! Nie ponawiaj prób jego instalacji, by "czyścić". Godny zaufania skaner to Malwarebytes Anti-Malware (dostępna wersja darmowa). 1clickmoviedownloader to nie wirus tylko adware/PUP. Oczywiście przy założeniu, że SpyHunter nie pokazał fałszywych wyników.

Temat przenoszę do działu Windows. Brak oznak infekcji. 1. W Dzienniku zdarzeń są takie oto błędy: Application errors: ================== Error: (02/23/2015 09:58:27 AM) (Source: NvStreamSvc) (EventID: 2001) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/23/2015 09:58:27 AM) (Source: NvStreamSvc) (EventID: 2001) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (02/23/2015 09:58:27 AM) (Source: NvStreamSvc) (EventID: 2001) (User: ) Description: NvStreamSvcNvVAD endpoint registration failed [0] Błąd usługi nVidia: możesz w całości odinstalować oprogramowanie NVIDIA GeForce Experience 2.2.2. Przy okazji pozbądź się też zbędnika Akamai NetSession Interface, co urwie jeszcze jeden wpis startowy. System errors: ============= Error: (02/24/2015 05:16:29 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Internet w Cyfrowym Polsacie. OUC z powodu następującego błędu: %%1053 Błąd aktualizatora Cyfrowego Polsatu: wyłącz usługę, by zapobiec jej uruchamianiu. Komenda uwzględniona w skrypcie FRST, wraz z drobnymi dodatkowymi akcjami. Otwórz Notatnik i wklej w nim: CMD: sc config c2cautoupdatesvc start= disabled CMD: sc config c2cpnrsvc start= disabled CMD: sc config "Internet w Cyfrowym Polsacie. RunOuc" start= disabled CMD: sc config WinDefend start= demand Task: {24D30181-2417-4FF0-82EA-B554D22B574B} - System32\Tasks\{0FD00983-A70C-4F9D-A1BB-5827B3886B9F} => pcalua.exe -a "C:\Users\Soya\Downloads\vcredist_x64 (1).exe" -d C:\Users\Soya\Downloads Task: {C2268C8B-6CB3-4EE2-944A-EB4CC6F79BD0} - System32\Tasks\{93E8A165-04B2-47FF-9097-1B1EABAD220A} => pcalua.exe -a C:\Users\Soya\Downloads\starcraft\SETUP.EXE -d C:\Users\Soya\Downloads\starcraft S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Pokaż ten plik. 2. Jeśli pozbycie się GeForce Experience (redukcja uruchomionych usług) nie wniesie nic do sprawy, zwykle w takich przypadkach podejrzany program zabezpieczający, tu Avast + MBAM.

Nie widać tu czynnej infekcji. Tylko drobne działania do przeprowadzenia. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2192512233-2440722427-3420272389-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com FF Keyword.URL: hxxp://www.google.com/cse?cx=partner-pub-5528014799800033:cevktqnfrvl&ie=ISO-8859-1&q= Task: {89B7CFCE-4A40-4D23-8794-96F8149E7A71} - System32\Tasks\{4C3F38B6-B4B2-49FA-B4A7-20BB647A1DA3} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/pl/go/help.faq.installer?LastError=1618 Task: {BE9F9ED2-A7EC-440B-BA42-F4B24D944AB3} - System32\Tasks\{C0F969F2-D58B-49A1-864D-2B2CE11A4776} => pcalua.exe -a E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update\setup.exe -d E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update Task: {D3BB7FD4-360A-4D0C-AA0F-3F80C0AB3C2E} - System32\Tasks\{07366C4D-B6D3-4638-A14E-B1E62938418A} => E:\ISO\Might.and.Magic.X.Legacy-RELOADED\Might.and.Magic.X.Legacy.Update.1-RELOADED\Update\setup.exe Task: {E86BC747-0FED-4692-9FBC-74997B796CDA} - System32\Tasks\{5F240D26-5E8B-44B8-B059-319BDC5C0747} => Iexplore.exe http://ui.skype.com/ui/0/6.14.0.104/en/abandoninstall?page=tsProgressBar CMD: ipconfig /flushdns EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO. Uruchom FRST i kliknij w Fix. Nastąpi restart, w folderze skąd uruchamiasz FRST powstanie kolejny fixlog.txt. Przedstaw go.

1. Wyniki Hitman "Suspicious files" na plikach FRST to fałszywe alarmy. Reszta do usunięcia. Dodatkowo, w całości dokasuj ręcznie te foldery i plik: C:\TEMP\Temp1_Minecraft Force Op(1).zip C:\Users\dom\Desktop\przegladarki\Palemoon_download\Minecraft Force Op(1) C:\Users\dom\Desktop\przegladarki\Palemoon_download\FRST-OlderVersion 2. Usuń pobray FRST z folderu Pale Moon. Zastosuj DelFix oraz wyczyść foldery Przywrcania systemu: KLIK.

Był uruchamiany GMER, do sprawdzenia transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Jeśli "Tryb bieżący: PIO" > odinstaluj z prawokliku kanał IDE > zresetuj system. W kwestii problemów sieciowych: nie widzę innej możliwości niż zmiana tego zbanowanego IP (czyli kontakt z dostawcą), ale na odniesienie się do wszystkich aspektów poczekaj na odpowiedź kogoś bardziej kompetentnego niż ja.

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. Zainfekowany router oddziaływał na wszystkie urządzenia w sieci domowej. Ale oczywiście dla sprawdzenia czy nie ma dodatkowych aspektów należy dostarczyć świeżutki komplet logów (FRST + GMER) z laptopa.

1. Wyniki Hitman: wszystkie rekordy "Suspicious files" (FRST, PunkBuster, FanaLEDs) do zignorowania, resztę usuń. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Kris1995, co Ty wyprawisz w innym temacie!? Uruchomiłeś cudzy skrypt do FRST dla systemu Windows 7! Nie wolno takich rzeczy robić, skrypty są unikatowe, przeznaczone tylko dla jednego systemu i zrobione w oparciu o konkretne logi. Masz szczęście, że nic się nie wykonało i nic nie uszkodziłeś, bo kompletnie inne ścieżki. Post z cudzego tematu kasuję. Tu posty uporządkowałam. Czekam jeszcze na GMER. Raportu z GMER nie możesz dołączyć, bo nie postąpiłeś identycznie z instrukcją - opcja Kopiuj i zapis do pliku TXT. Wybór opcji zapisu od razu tworzy niedopuszczalny w załącznikach plik *.LOG. Zapisz plik do nowego o rozszerzeniu TXT. Od razu powiem, że mamy poważny problem, czyli infekcję szyfrującą dane (bez możliwości ich dekrypcji). Czyszczeniem zajmę się, gdy uzyskam komplet logów.