Skocz do zawartości
Nadchodzące zmiany w logowaniu

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 516

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    1. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Przeczytaj też na co uważać przy pobieraniu: KLIK. To tyle w zakresie czyszczenia adware. Wątek monitora w ogóle nie ma z tym związku, nie ten poziom modyfikacji.
  2. picasso

    Problem z mBankiem.

    picasso odpowiedział(a) na arfi temat w Software

    Temat przenoszę do działu Software. To nie jest problem infekcji. Za to podejrzany jest COMODO Internet Security. PS. Dokasuj te puste śmieci: C:\Users\Default\Desktop\Trend Micro Titanium.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Trend Micro Titanium C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro
  3. picasso
    Operacja wykonana. Zastosuj tak jak poprzednio DelFix i wyczyść foldery Przywracania systemu: KLIK. Po użyciu DelFix pozbądź się pliku C:\Delfix.txt.
  4. picasso
    Clean, a nie Uninstall.
  5. picasso
    Poprzednie zadania wykonane, ale jeszcze drobne poprawki na nowe zmiany. Do Notatnika wklej: S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] C:\Users\PC\Desktop\Kontynuuj instalację CorelDRAW Graphics Suite.lnk C:\Users\PC\Downloads\Malavida_Download_Manager.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\PC\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.
  6. picasso
    Masz wcisnąć Usuń (Delete), a nie Odinstaluj (Uninstall).
  7. picasso
    Temat zostanie przeniesiony do działu Windows. Z raportów nic nie wynika pod kątem problemu, a w Dzienniku zdarzeń rozmaite błędy bez przewodniego motywu. Jest tu wprawdzie czynne adware Ask, ale wątpię by to miało taki wpływ na system. Jeśli problem jest tylko w obszarze eksploratora, to prędzej nasuwają się programy integrujące z powłoką. Instalowałeś wiele aplikacji w ostatnim czasie, m.in. kodeki. Doczyszczanie adware: 1. Przez Panel sterowania odinstaluj adware/PUP: Free YouTube Downloader 4.0.312, Search App by Ask, YTD Video Downloader 4.8.9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5457EA6E-7E01-4FB3-9178-70FCFC2DEB4E} - System32\Tasks\ZRZYR => C:\Users\RHinplus\AppData\Roaming\ZRZYR.exe Task: {5FAE7704-53AA-41DE-B1AC-88E637A17980} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-173311020-2444926906-3683853307-1001 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe Task: {BBF45837-F7B9-4660-B482-243435B0EF69} - System32\Tasks\UNELEVATE_15164 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1413\jsdrv.exe Task: {CBF23037-DB97-44E0-AB53-42188BEE804E} - System32\Tasks\AB => C:\Users\RHinplus\AppData\Roaming\AB.exe Task: C:\windows\Tasks\AB.job => C:\Users\RHinplus\AppData\Roaming\AB.exe Task: C:\windows\Tasks\ZRZYR.job => C:\Users\RHinplus\AppData\Roaming\ZRZYR.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers-x32: [iB24SynchronizationPending] -> {08ad9864-e486-4cdb-8781-d507026cf5d6} => No File ShellIconOverlayIdentifiers-x32: [iB24Synchronized] -> {08ad9864-e486-4cdb-8781-d507026cf5d7} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141207 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141207 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-173311020-2444926906-3683853307-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=SGT-SP&o=APN11004&pf=V7&trgb=IE&p2=^B3Q^aaa155^YY^PL&gct=hp&apn_ptnrs=^B3Q&apn_dtid=^aaa155^YY^PL&apn_dbr=cr_39.0.2171.71&apn_uid=22356410-F6EA-4B6C-8637-A74A9BDEB0A3&itbv=12.21.0.3795&doi=2014-12-07&psv=&pt=tb SearchScopes: HKU\S-1-5-21-173311020-2444926906-3683853307-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = SearchScopes: HKU\S-1-5-21-173311020-2444926906-3683853307-1001 -> {6F87B2D8-0510-4843-87BE-A14959A33E93} URL = http://www.search.ask.com/web?tpid=SGT-SP&o=APN11004&pf=V7&p2=^B3Q^aaa155^YY^PL&gct=&itbv=12.21.0.3795&apn_uid=22356410-F6EA-4B6C-8637-A74A9BDEB0A3&apn_ptnrs=^B3Q&apn_dtid=^aaa155^YY^PL&apn_dbr=cr_39.0.2171.71&doi=2014-12-07&trgb=IE&q={searchTerms}&psv=&pt=tb StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HomePage: Default -> CHR StartupUrls: Default -> "hxxp://google.com/", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1416764338&from=smt&uid=LITEONITXLMT-256L9M-11XMSATAX256GB_TW0N42H7550854790144" CHR HKU\S-1-5-21-173311020-2444926906-3683853307-1001\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path C:\Program Files (x86)\AskPartnerNetwork C:\ProgramData\*.log C:\ProgramData\AskPartnerNetwork C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\RHinplus\AppData\Local\AskPartnerNetwork C:\Users\RHinplus\AppData\Roaming\AB C:\Users\RHinplus\AppData\Roaming\ZRZYR C:\Users\RHinplus\AppData\Roaming\How Inc C:\Users\RHinplus\AppData\Roaming\Opera Software C:\Users\RHinplus\Downloads\Niepotwierdzony*.crdownload C:\Users\RHinplus\Downloads\FreeYouTubeDownloaderOC.exe C:\Users\RHinplus\Downloads\FYTDSetup.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ApnTBMon /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany (wątpię).
  8. picasso
    1. Hitman wykrył jeszcze mini szczątki adware oraz różne ciastka. Wszystko sprzątnij za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK. 3. I przeczytaj czego unikać: KLIK. To tyle.
  9. picasso
    Dokładnie mamy tu to co mówiłam - linia "Bieżący tryb transferu: Tryb PIO". Z prawokliku odinstaluj Podstawowy kanał IDE i zresetuj system. Windows powien przebudować urządzenie przypisując mu tryb DMA i znacznie przyśpieszyć.
  10. picasso
    W systemie jest aktywna infekcja ładowana via Shell bieżącego użytkownika, udająca "(Obraz JPEG)". Do wdrożenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Winlogon: [shell] C:\Users\Mateusz\AppData\Local\SearchIndexer.exe [563712 2015-02-13] (Obraz JPEG) HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Run: [AdobeBridge] => [X] S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1422797341&from=smt&uid=SAMSUNGXHD250HJ_S0URJ1CQ409680 FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Users\Mateusz\AppData\Local\SearchIndexer.exe C:\Users\Mateusz\AppData\Local\LF_* C:\Users\Mateusz\AppData\Local\SS_* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
  11. picasso
    Chodzi o zrzut z karty Ustawienia zaawansowane.
  12. picasso
    Nie wiem z jakiego powodu AdwCleaner tak wpłynął na start Windows i nawet po ponownym resecie był problem. AdwCleaner nie usuwał nic szczególnego - drobne szczątki adware. W podanych raportach brak oznak czynnej infekcji. Możesz wykonać jeszcze kosmetykę (usunięcie odpadka adware key-find, innych pustych wpisów i czyszczenie Tempów): Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] U4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X] HKU\S-1-5-21-101574327-4162847114-3858594938-1001\...\Run: [ViStart] => C:\Users\Adam\AppData\Roaming\ViStart\ViStart.exe HKU\S-1-5-21-101574327-4162847114-3858594938-1001\...\Run: [NukeMetro] => "C:\Users\Adam\AppData\Roaming\ViStart\ViStart.exe" /nuke_metro HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-101574327-4162847114-3858594938-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\Users\Adam\AppData\Roaming\ViStart Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\key-find uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s C:\Windows\system32\netcfg-*.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.
  13. picasso
    1. Uruchom ponownie AdwCleaner, ale tym razem zastosuj akcję Szukaj + Usuń. Gdy AdwCleaner ukończy się czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.
  14. picasso
    Start > Uruchom > devmgmt.msc > w menu Widok ustaw Urządzenia wg połączenia > rozwiń gałęzie, aż dojdziesz do kontrolera na którym siedzi dysk twardy (Podstawowy lub Pomocniczy kanał IDE) > pobierasz z prawokliku Właściwości kontrolera i robisz zrzut ekranu.
  15. picasso
    1. Uruchom ponownie AdwCleaner, zastosuj akcję Szukaj + Usuń. Gdy ukończy się czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ALEKSANDRA\Desktop\Stare dane programu Firefox CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. I podsumuj co się aktualnie dzieje w systemie.
  16. picasso
    MBAM wykrył szczątki adware (w tym instalatory je aplikujące) i cracki - wszystko do usunięcia. Zrób jeszcze skan Hitman Pro i przedstaw wyniki.
  17. picasso
    Czy został wykonany ten punkt: Proszę mi pokazać na obrazkach te miejsca.
  18. picasso
    Akcje wykonane. Teraz uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.
  19. picasso
    Wejdź w Tryb awaryjny Windows (zaloguj się na konto Patrycja a nie wbudowanego Administratora) i ponów próbę.
  20. picasso
    W związku z tym końcowe poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3115265202-861073304-1815682740-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\dom\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.
  21. picasso
    System zaśmiecony. Jest tu potwornie stara wersja Trend Micro Internet Security (z 2009!) z pewnością nie czyniąca dobrze w systemie, podejrzana usługa Tor (prawdopodobnie "backdoor") oraz liczne odpadki adware. Na dodatek adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i jest niezbędna całkowita reinstalacja od zera. Wstępne działania: 1. Przez Panel sterowania odinstaluj stare wersje, zbędniki i poszkodowane Google: Adobe Flash Player 16 NPAPI (to wersja dla Firefox), Adobe Reader 9.4.4 - Polish, Gadu-Gadu 10, Google Chrome, Java 2 Runtime Environment, SE v1.4.2_03, Java™ 6 Update 26, Mozilla Firefox 12.0 (x86 pl), Mozilla Maintenance Service, Opera 12.10, Trend Micro Internet Security. Przed deinstalacją Chrome wyeksportuj zakładki (i nic więcej). Przy deinstacji zaznacz Usuń także dane przeglądarki. Resztę obiektów Chrome i Mozilla doczyści skrypt w punkcie poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-01] () [File not signed] S2 e81a9dc1; "C:\Windows\system32\rundll32.exe" "c:\progra~2\gs-ena~1\AssistantSvc.dll",service S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [47632 2013-04-29] (Panda Security, S.L.) S3 AmUStor; system32\drivers\AmUStor.SYS [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath Task: {12CCB40B-4EA4-4F13-B1B0-35CAF7DF8492} - System32\Tasks\GS-Enabler-S-1622525965 => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe Task: {13006454-2935-4E0A-81BE-6926E45633E7} - \AdobeFlashPlayerUpdate No Task File Task: {131080F2-0EE4-411A-82F5-03F663BA6025} - \BitGuard No Task File Task: {15FE6C86-6295-4ED7-A40A-AED45A512747} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File Task: {16AB82D6-442F-4249-9315-DF0CB572169F} - System32\Tasks\{792CA22F-5207-45BF-A090-84A149118BDE} => pcalua.exe -a "D:\Damian\fotki\Adobe Photoshop CS2 v9.0 FinaL + KeyGeN & Activator==\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe" -d "D:\Damian\fotki\Adobe Photoshop CS2 v9.0 FinaL + KeyGeN & Activator==\Photoshop_CS2_tryout\Photoshop CS2" Task: {33E4E90C-F0D2-4656-8CEA-90BC795DAC3D} - \DealPly No Task File Task: {34CAB034-9467-4020-99C6-F36E4C92069F} - System32\Tasks\GS.Enabler-S-926685765 => c:\programdata\softwarehouse\gs.enabler\GS.Enabler.exe Task: {37C7F7E6-95AE-4A8E-BD43-A0A1499F0A6E} - \DealPlyUpdate No Task File Task: {4B968CB4-D34B-4287-81D8-8AF203AC1419} - \BonanzaDealsUpdate No Task File Task: {6A160AF0-19D4-4ADB-AA18-514B4C3E41BE} - \Scheduled Update for Ask Toolbar No Task File Task: {7B7E10FA-A4D1-4A08-8644-5CD8140CFCDB} - \AdobeFlashPlayerUpdate 2 No Task File Task: {88560304-D041-41D8-8D87-9B4F28BD5950} - System32\Tasks\{3A077835-5C56-4916-AEF5-611C15D70641} => c:\program files (x86)\opera 11.10 beta\opera.exe [2012-11-16] (Opera Software) Task: {CF69CCBF-B737-4C0C-AAAF-2AA2015642A9} - \EPUpdater No Task File Task: {D3DFA30C-2FF2-4BE9-A0C4-00E6A88316FD} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File Task: {F75FD957-079F-4396-B134-0F38E25310A6} - System32\Tasks\{E80DC9CB-8211-49D7-9E3F-5EE24B5ECC94} => pcalua.exe -a "D:\Róża [DVDRip] [XviD] [PL].avi\DivX Plus Codecs.exe" -d "D:\Róża [DVDRip] [XviD] [PL].avi" Task: C:\Windows\Tasks\GS-Enabler-S-1622525965.job => c:\programdata\softwarehouse\gs-enabler\GS-Enabler.exe Task: C:\Windows\Tasks\GS.Enabler-S-926685765.job => c:\programdata\softwarehouse\gs.enabler\GS.Enabler.exe HKU\S-1-5-21-342266629-1139831834-1673432305-1000\...\CurrentVersion\Windows: [Load] HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SLIC ToolKit V3.2.lnk BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bit GroupPolicy: Group Policy on Chrome detected HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150212 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://google.atcomet.com/b/ HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 - {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKCU - {523BD156-F9C9-43BC-9C47-7E1342902D7E} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=18cace40000000000000485b391770d9 SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKCU - {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} BHO-x32: Positive Finds -> {30c85a3d-1d96-4589-b63f-91fb7ef45a41} -> C:\Program Files (x86)\Positive Finds\Extensions\30c85a3d-1d96-4589-b63f-91fb7ef45a41.dll No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\GS.Enabler C:\Program Files (x86)\GS_x64.Enabler C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\My Company Name C:\Program Files (x86)\Opera C:\Program Files (x86)\Tor C:\Program Files (x86)\UNiDeals C:\ProgramData\{d0ddc317-1050-f890-d0dd-dc3171050c5c} C:\ProgramData\1060043881227038852 C:\ProgramData\87b00c80000014ac C:\ProgramData\Mozilla C:\ProgramData\Opera C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Debut Video Capture Software.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Express Burn.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Prism Video File Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoPad Video Editor.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Related Programs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FBReader for Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trend Micro Internet Security C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\Users\Michał&Damian\AppData\Local\*.html C:\Users\Michał&Damian\AppData\Local\Google\Chrome C:\Users\Michał&Damian\AppData\Local\Mozilla C:\Users\Michał&Damian\AppData\Local\Opera C:\Users\Michał&Damian\AppData\Local\Seven Zip C:\Users\Michał&Damian\AppData\Roaming\mservice32_t.exe C:\Users\Michał&Damian\AppData\Roaming\removeAllComponents.bat C:\Users\Michał&Damian\AppData\Roaming\tibiavplayer.ini C:\Users\Michał&Damian\AppData\Roaming\.ACEStream C:\Users\Michał&Damian\AppData\Roaming\ACEStream C:\Users\Michał&Damian\AppData\Roaming\Asus WebStorage C:\Users\Michał&Damian\AppData\Roaming\Canon\MP Navigator EX V40\history\sc\*.lnk C:\Users\Michał&Damian\AppData\Roaming\Mozilla C:\Users\Michał&Damian\AppData\Roaming\OpenCandy C:\Users\Michał&Damian\AppData\Roaming\Opera C:\Users\Michał&Damian\AppData\Roaming\Security System 2 C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab PDF Creator C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NCH Software Suite C:\Users\Michał&Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Video Related Programs C:\Users\Michał&Damian\Downloads\*(*)-dp*.exe C:\Users\Michał&Damian\Downloads\SLIC ToolKit V3.2.exe C:\Windows\System32\DRIVERS\PSKMAD.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABBYY.Licensing.FineReader.Professional.11.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BackupStack" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BBSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update Mega Browse" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util Mega Browse" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EeeStorageBackup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop_03281748" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Zaimportuj zakładki. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy.
  22. picasso
    Kolejne poprawki: 1. Konsekwentnie ta część jest omijana - jaki powód? Przecież są nowsze bezpieczniejsze wersje. Ta stara Opera 12.15 ma krytyczną lukę SSL, łata jest w wersji 12.17: KLIK. 2. Otwórz Notatnik i wklej w nim: C:\Program Files\Google C:\Program Files\McAfee.com C:\Program Files (x86)\McAfee.com C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Shopping Suggestion C:\Program Files (x86)\Temp C:\Program Files (x86)\V-9.1HD C:\Program Files (x86)\WinZipper C:\ProgramData\Temp C:\Users\Teresa\AppData\Local\cache C:\Users\Teresa\AppData\Local\MusicPlayer C:\Users\Teresa\AppData\Local\Pay-By-Ads C:\Users\Teresa\AppData\Roaming\DSite Reg: reg delete HKLM\SOFTWARE\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razioe wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowyu log z folderu C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) na następującym ustyawieniu: odznacz opcję Whitelist dla pozycji Internet.
  23. picasso
    Zupełnie nic nie widać, reklamy jednak występują, więc na 100% jest coś zintegrowane z Chrome. 1. Wyeksportuj z Google Chrome tylko zakładki. Odinstaluj program, przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Zainstaluj najnowszą wersję Google Chrome: KLIK. Podaj czy nadal są problemy z reklamami.
  24. picasso
    Pozostało jeszcze dużo obiektów adware, m.in. czynne sterowniki. Kolejna porcja działań do wdrożenia: 1. Był uruchamiany GMER, toteż mógł zostać przypadkowo obniżony transfer dysku z DMA do PIO, co objaśniałoby 10 minutowy start. Do wykonania ustęp Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3cee21b8-f45f-4b81-8601-1f2cae0a9621}t; C:\WINDOWS\System32\drivers\{3cee21b8-f45f-4b81-8601-1f2cae0a9621}t.sys [55832 2015-02-19] (StdLib) R1 {6d550375-e98e-48ce-8260-daa7e461d495}t; C:\WINDOWS\System32\drivers\{6d550375-e98e-48ce-8260-daa7e461d495}t.sys [55824 2014-10-02] (StdLib) R1 {dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}t; C:\WINDOWS\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}t.sys [55832 2015-02-15] (StdLib) R1 {e4a6645a-3f85-4e1f-aa41-8367978844db}t; C:\WINDOWS\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}t.sys [55872 2014-10-16] (StdLib) R1 {e65048d8-bd76-44ed-ac28-c25d339ab590}t; C:\WINDOWS\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}t.sys [55832 2015-02-09] (StdLib) S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S2 MaintainerSvc2.65.3980626; "C:\Documents and Settings\All Users\Dane aplikacji\ee70f246-63a3-464e-a2ed-28bc4d8db631\maintainer.exe" [X] S1 rfqoveiv; \??\C:\WINDOWS\system32\drivers\rfqoveiv.sys [X] S2 Update Browser Good; "C:\Program Files\Browser Good\updateBrowserGood.exe" [X] S2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Patrycja\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\e01f31b0-ec5e-4b84-821b-062247fa9655-5.job => C:\Program Files\HD Cinema Pro 1.8cV16.02\e01f31b0-ec5e-4b84-821b-062247fa9655-5.exe Task: C:\WINDOWS\Tasks\RegClean Prosch.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe HKLM\...\Run: [upfst_pl_207.exe] => C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\fst_pl_207\upfst_pl_207.exe [3303928 2014-09-25] () HKU\S-1-5-21-790525478-861567501-682003330-1004\...\Run: [Akamai NetSession Interface] => "C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" HKU\S-1-5-21-790525478-861567501-682003330-1004\...\Run: [Mobile Partner] => C:\Program Files\Wi-Fi Modem\Wi-Fi Modem AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\docume~1\alluse~1\daneap~1\bitguard\271832~1.68\{c16c1~1\bitguard.dll File Not Found AppInit_DLLs: c:\progra~1\suppor~1\suppor~1.dll => c:\progra~1\suppor~1\suppor~1.dll File Not Found Startup: C:\Documents and Settings\Patrycja\Menu Start\Programy\Autostart\superpc_soft_partner.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1424287421&from=brd&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1424287421&from=brd&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} HKU\S-1-5-21-790525478-861567501-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418980592&from=wpm12173&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} HKU\S-1-5-21-790525478-861567501-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418980592&from=wpm12173&uid=HITACHIXHTS542512K9SA00_080407BB0202WBJW33EAX&q={searchTerms} URLSearchHook: HKLM - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} URLSearchHook: HKU\S-1-5-21-790525478-861567501-682003330-1004 - Default Value = {FE69C007-C452-4d3e-86D2-1730DF8BC871} BHO: BlockAndSurf -> {08DB7275-1643-E608-A596-F0D5D89AB9A0} -> C:\Program Files\ver4BlockAndSurf\179.dll No File BHO: browseandshop -> {44e61e69-2845-4e6c-b785-88e009eb6a78} -> C:\Documents and Settings\All Users\Dane aplikacji\browseandshop\Znrq1pVpJDoDIi.dll No File Toolbar: HKU\S-1-5-21-790525478-861567501-682003330-1004 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi C:\Documents and Settings\All Users\Dane aplikacji\{649bc223-64bd-806a-649b-bc22364b088d} C:\Documents and Settings\All Users\Dane aplikacji\17484233891940776556 C:\Documents and Settings\All Users\Dane aplikacji\2b87154c00004f54 C:\Documents and Settings\All Users\Dane aplikacji\couponcheapchea C:\Documents and Settings\Patrycja\Dane aplikacji\istartsurf C:\Documents and Settings\Patrycja\Dane aplikacji\WinZipper C:\Documents and Settings\Patrycja\Moje dokumenty\*(*)-dp*.exe C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\nsx45.tmp C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\fst_pl_207 C:\Documents and Settings\Patrycja\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Google C:\Program Files\WinZipper C:\WINDOWS\System32\drivers\{3cee21b8-f45f-4b81-8601-1f2cae0a9621}t.sys C:\WINDOWS\System32\drivers\{6d550375-e98e-48ce-8260-daa7e461d495}t.sys C:\WINDOWS\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}t.sys C:\WINDOWS\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}t.sys C:\WINDOWS\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}t.sys C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj na czym stoimy - które objawy ustąpiły.
  25. picasso
    Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64; C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys [48776 2014-11-23] (StdLib) R1 {150ca330-afd5-4527-99bc-b3ce918cea60}Gw64; C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys [48784 2014-11-26] (StdLib) R1 {2fb2b93a-d824-4963-962b-e98da201096d}Gw64; C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys [48784 2014-11-26] (StdLib) R1 {748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64; C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys [48784 2014-11-26] (StdLib) R1 {d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64; C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys [48784 2014-11-28] (StdLib) R1 {e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64; C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys [48784 2014-12-01] (StdLib) R1 {efe93952-e041-4e49-a1cc-461436cf69d0}Gw64; C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys [48776 2014-11-23] (StdLib) S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X] HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe HKLM-x32\...\Run: [LManager] => [X] HKU\S-1-5-21-730475293-231205452-1474613943-1005\...\Run: [Akamai NetSession Interface] => "C:\Users\Grzegorz\AppData\Local\Akamai\netsession_win.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b" CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b" CHR DefaultNewTabURL: Default -> http://rts.dsrlte.com?affID=pr_cd08e4ec-25b8-47a7-b963-01281033dc3b HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKU\S-1-5-21-730475293-231205452-1474613943-1005\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {193DCD88-88AA-484E-9293-6F5E0901F68F} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=432 SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> {F454C8FA-B4D2-43A0-BE74-37D7C3DAAA68} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1005 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\Users\Grzegorz\WRInstallerEU.exe C:\Users\Grzegorz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Pay-By-Ads C:\Windows\System32\drivers\{128614e8-07dd-4e11-b9ec-ca2c14f812c5}Gw64.sys C:\Windows\System32\drivers\{150ca330-afd5-4527-99bc-b3ce918cea60}Gw64.sys C:\Windows\System32\drivers\{2fb2b93a-d824-4963-962b-e98da201096d}Gw64.sys C:\Windows\System32\drivers\{748ea00c-6f7f-4fc0-becf-f6ebec59eb8f}Gw64.sys C:\Windows\System32\drivers\{d844ac65-f5bb-442d-922f-0cfb5ccefb0c}Gw64.sys C:\Windows\System32\drivers\{e7ea42ad-4fa4-4fce-a37a-c42931f721e3}Gw64.sys C:\Windows\System32\drivers\{efe93952-e041-4e49-a1cc-461436cf69d0}Gw64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Są tu aż trzy konta: ==================== Accounts: ============================= Grzegorz (S-1-5-21-730475293-231205452-1474613943-1005 - Administrator - Enabled) => C:\Users\Grzegorz Krzysztof (S-1-5-21-730475293-231205452-1474613943-1002 - Administrator - Enabled) => C:\Users\Krzysztof Przemek (S-1-5-21-730475293-231205452-1474613943-1004 - Limited - Enabled) => C:\Users\Przemek Dotychczas były sprawdzane raporty tylko z konta Grzegorz. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie Wyloguj czy Przełącz) i zrób nowy log FRST z opcji Scan. Na Grzegorzu bez Addition i Shortcut. Na reszcie z Addition, lecz bez Shortcut. Dołącz też plik fixlog.txt.
×
×
  • Dodaj nową pozycję...