picasso

Na razie brak tu jakichkolwiek oznak infekcji. Tylko drobny szczątek adware na liście zainstalowanych: Installer (HKLM-x32\...\VOPackage) (Version: 1.0.0.0 - ) Odinstaluj tego śmiecia siedząc na koncie administracyjnym Aga. Podaj mi na wszelki wypadek wyniki tego testu: KLIK. Skan FRST został zrobiony z poziomu kontekstu administracyjnego konta Aga a nie limitowanego Agusia - "Ran by Aga": Ran by Aga (administrator) on AGA on 16-02-2015 00:59:39 Running from C:\Users\Agusia\Desktop Loaded Profiles: Aga & Agusia (Available profiles: Aga & Agusia)[/b] ==================== Accounts: ============================= Aga (S-1-5-21-2403310642-1225698830-1158638626-1001 - Administrator - Enabled) => C:\Users\Aga Agusia (S-1-5-21-2403310642-1225698830-1158638626-1005 - Limited - Enabled) => C:\Users\Agusia Jeśli na koncie limitowanym uruchamiasz FRST za pomocą opcji "Uruchom jako Administrator", zmienia się całkowicie kontekst uprawnień i FRST działa oraz pobiera dane przede wszystkim z poziomu konta administracyjnego a nie limitowanego. Tu w raporcie tylko częściowo są załadowane ustawienia konta limitowanego, czyli nie jest tu w ogóle pokazany właściwy profil przeglądarki. FRST na koncie limitowanym należy uruchomić przez dwuklik i nie robić elewacji uprawnień. Jeśli jest więcej niż jedno konto, należy robić indywidualne raporty FRST z każdego z osobna po całkowitym wylogowaniu poprzedniego konta (czyli restart systemu, a nie opcje Wyloguj czy Przełącz użytkownika). Pod kątem profilu przeglądarki zrób jeszcze raz główny raport FRST (bez Addition i Shortcut) z poziomu konta limitowanego. 1. Dziennik zdarzeń nie podaje żadnego konkretnego tropu: Application errors: ================== Error: (02/10/2015 01:10:29 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program Explorer.EXE w wersji 6.1.7601.17567 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji. Identyfikator procesu: 22ac Godzina rozpoczęcia: 01d042e39d7c72d0 Godzina zakończenia: 0 Ścieżka aplikacji: C:\windows\Explorer.EXE Identyfikator raportu: c620dad1-b11d-11e4-91a2-ec55f9e043b6 Tu można podejrzewać jedno z dwóch: Kaspersky Internet Security 2013 lub jakieś wadliwe rozszerzenie powłoki. Podejrzanych sporo, np. "Corel Shell Extension - 64Bit", w systemie działa też archaiczny Firebird i inne programy integrujące się z powłoką. Wykonaj test wstępny: Uruchom ShellExView x64. Poprzez klik w belkę Company posortuj wpisy tak by wszystkie producentów trzecich (oznaczone na różowym tle) zgrupowały się razem. Z wciśniętym CTRL zaznacz hurtem wszystkie te "różowe" i zdeaktywuj, następnie zresetuj system. Podaj wyniki czy explorer nadal się samoistnie resetuje. 2. Dodatkowa sprawa, moduł Hewlett-Packard (hpzjcd01.dll) wykłada usługę Bufor wydruku: Application errors: ================== Error: (02/14/2015 09:40:36 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: spoolsv.exe, wersja: 6.1.7601.17777, sygnatura czasowa: 0x4f35fc1d Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.1.7601.18409, sygnatura czasowa: 0x5315a05a Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0000000000003a28 Identyfikator procesu powodującego błąd: 0x19c8 Godzina uruchomienia aplikacji powodującej błąd: 0xspoolsv.exe0 Ścieżka aplikacji powodującej błąd: spoolsv.exe1 Ścieżka modułu powodującego błąd: spoolsv.exe2 Identyfikator raportu: spoolsv.exe3 Error: (02/06/2015 11:42:05 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: spoolsv.exe, wersja: 6.1.7601.17777, sygnatura czasowa: 0x4f35fc1d Nazwa modułu powodującego błąd: hpzjcd01.dll, wersja: 8.2.16.0, sygnatura czasowa: 0x515df290 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000188ae Identyfikator procesu powodującego błąd: 0x6c8 Godzina uruchomienia aplikacji powodującej błąd: 0xspoolsv.exe0 Ścieżka aplikacji powodującej błąd: spoolsv.exe1 Ścieżka modułu powodującego błąd: spoolsv.exe2 Identyfikator raportu: spoolsv.exe3 Datowanie w raportach wskazuje, że majdan HP jest stary. Poszukaj czy są aktualizacje.

adamek, posługujesz się potwornie starym FRST pozbawionym nowych komend, skanów i innych fiksów: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 28-09-2014 (ATTENTION: ====> FRST version is 139 days old and could be outdated) Ten program jest aktualizowany tak często (niejednokrotnie prawie dzień po dniu), że należy go za każdym razem pobierać od nowa! Proszę pobierz z przyklejonego najnowszą wersję i zrób nowe logi (wszystkie trzy): KLIK.

1. Deinstalator SpyHunter jest w Menu Start: ShortcutWithArgument: C:\Users\PC\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\PC\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh Uruchom ten skrót LNK: C:\Users\PC\Start Menu\Programs\SpyHunter\Uninstall.lnk. Jeśli proces się nie powiedzie, dopiero wtedy będziemy kombinować "na chama". 2. Ustaw przeglądarkę Firefox jako domyślną, gdyż obecnie stoi tu nieistniejąca w systemie Opera: Internet Explorer Version 9 (Default browser: Opera) 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1765589224-887387816-2075540833-1000\...\Run: [softonicAssistant] => "C:\Users\PC\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe" HKU\S-1-5-21-1765589224-887387816-2075540833-1000\...\MountPoints2: {9497dbae-90f6-11e4-83c7-00a0c6000000} - J:\AutoRun.exe Task: {0638C36D-BE9F-44B9-9807-E1797F53CC6F} - System32\Tasks\{2357E72E-B93F-4FE8-A5FB-EA468755C856} => pcalua.exe -a C:\Users\PC\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {2D779EDE-6E56-4A76-9B42-65791634C53A} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-01-26] (Enigma Software Group USA, LLC.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1765589224-887387816-2075540833-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = C:\Program Files (x86)\Google C:\Users\PC\AppData\Local\Opera Software C:\Users\PC\AppData\Roaming\Opera Software C:\Users\PC\Downloads\*(*)-dp*.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

GMER robiony w złym środowisku, liczne sterowniki emulatorów na chodzie: KLIK. R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2013-09-01] (Disc Soft Ltd) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-10-22] (Duplex Secure Ltd.) U3 az3kunts; C:\Windows\System32\Drivers\az3kunts.sys [0 ] (Advanced Micro Devices) Nie wiem czy dobrze rozumiem - brak sieci to usterka? Co widzę w raportach: - Są tu owszem ślady infekcji: wpisy typu Debugger blokujące określone aplikacje (ale nie te które wyliczasz) + zadanie Windows Update Check - 0x0E5602E0 w Harmonogramie udające to co w nazwie + wyłączony w msconfig wpis kierujący na ścieżkę C:\ProgramData\Windows Service Manager0. Nic tu jednak nie wskazuje, by infekcja była obecnie w stanie czynnym, ale owszem mogła uszkodzić pewne komponenty Windows (np. zintegrowany 32-bitowy Windows Defender). - Wątpliwe programy. O SpyHunter mówiłam już w innym temacie - to program z czarnej listy i badziew. Prócz tego jest kolejny wątpliwy cudak Dll-Files Fixer - tym tylko można się pogrążyć. Podobnie z DriverEasy - automatami do aktualizacji sterowników można sobie tylko zaszkodzić, sterowniki aktualizuje się precyzyjnie ręcznie. - Jeśli brak sieci to usterka, to nie ma konkretów, ale niepełnosprawny MSSE mocno podejrzany (ingeruje w sieć). - Uszkodzone WMI, sypie też błędami niekompatybilnych elementów LibUSB, Acronis ma problemy startowe: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. System errors: ============= Error: (02/19/2015 10:44:05 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Acronis OS Selector activator z powodu następującego błędu: %%1053 Error: (02/19/2015 10:44:05 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Acronis OS Selector activator. Error: (02/19/2015 10:43:05 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi LibUsb-Win32 - Daemon, Version 0.1.10.1 z powodu następującego błędu: %%2 Error: (02/19/2015 10:42:23 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\libusb0.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Wstępnie: 1. Odinstaluj problematyczne aplikacje i stare wersje: Acronis Disk Director Home, Adobe AIR, Adobe Reader 8, Dll-Files Fixer, DriverEasy 3.11.3, Java 7 Update 25 (64-bit), Java 7 Update 60, LibUSB-Win32-0.1.10.1, Microsoft Security Essentials. Deinstalacje muszą być wykonane z poziomu Trybu normalnego Windows, w awaryjnym nie działa Instalator Windows. Po deinstalacji MSSE podejmij się po raz kolejny próby naturalnej deinstalacji SpyHunter. Jeśli się nie uda, zajmę się tym w inny sposób. Dodatkowo, uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper (chodzi o starszą wersję 1.3.25.11) > Dalej. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 4. Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\hijackthis.exe: [Debugger] cx_.exe IFEO\housecalllauncher.exe: [Debugger] qx_.exe IFEO\rstrui.exe: [Debugger] xs_.exe IFEO\spybotsd.exe: [Debugger] qt_.exe Task: {1147566B-E799-4B67-BCEF-97C652F0153E} - System32\Tasks\{4612FDC6-C735-4D62-A8EF-F8FBCFC7D209} => pcalua.exe -a C:\Users\TNR\Downloads\YouRipper2.40_www.INSTALKI.pl.exe -d C:\Users\TNR\Downloads Task: {370BB7A5-C48A-4C21-BE19-4E362DBB7011} - System32\Tasks\{C97263FD-A714-4617-9D4B-2914458BDE71} => pcalua.exe -a C:\Games\Bioshock\Prerequisites\vcredist_x86_vs2008sp1.exe -d C:\Games\Bioshock\Prerequisites Task: {56A8A750-0979-4723-B3C4-2975907942BF} - System32\Tasks\{0998C79C-40F4-4A4B-9F2C-B69BF490ACFB} => pcalua.exe -a G:\OriginInstaller.exe -d G:\ Task: {8353AA0E-C4EF-4285-9035-45C40A78DCBD} - System32\Tasks\{A7C184BF-697B-4286-B65A-17E2F4C2CCD6} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {9796B1BB-BDAB-42BF-A861-2E6B52EFE75F} - System32\Tasks\{979FF0B0-3491-4C7D-8A9D-8899DAAA7941} => pcalua.exe -a C:\Games\Outlast-GameWorks\Outlast\Binaries\UnSetup.exe -d C:\Games\Outlast-GameWorks\Outlast\Binaries Task: {9D8043CA-2420-4666-A72C-AFFF977F3E76} - System32\Tasks\{4906BB0D-C558-4899-89A2-99985AE50016} => pcalua.exe -a C:\Users\TNR\Downloads\XFXATHX_PCDRV_WIN8_LB_1_02_0061.exe -d C:\Users\TNR\Downloads Task: {A9D90C7B-1A64-47A8-B6D7-A5718C441007} - System32\Tasks\{DF6CADC4-3B94-4FD5-B66C-BA4CE6081633} => pcalua.exe -a F:\Support\vcredist_x86.exe -d F:\Support Task: {B00E30A8-32BB-4145-9CFE-908D36EDAD20} - System32\Tasks\{5D15044C-7FE9-4288-95B4-CBF9C8D643B7} => pcalua.exe -a C:\Users\TNR\Downloads\A9CADV2Setup_www.INSTALKI.pl.exe -d C:\Users\TNR\Downloads Task: {DA999580-CA35-49BC-93A1-3E414441EB88} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-02-19] (Enigma Software Group USA, LLC.) Task: {DB0F7EFD-9791-4A23-8AA4-D92EC92D7D8A} - System32\Tasks\Windows Update Check - 0x0E5602E0 => C:\ProgramData\Windows Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {EB6F9340-3F9D-464F-B5F0-1EB4B0AD0C65} - System32\Tasks\{A5636CFE-8BA2-4230-8760-FD30F9D16D87} => pcalua.exe -a "C:\Users\TNR\Desktop\sterownik ds3\libusb-win32-filter-bin-0.1.10.1.exe" -d "C:\Users\TNR\Desktop\sterownik ds3" Task: {FC70B0A2-9332-433A-AEF1-C926294B85CA} - System32\Tasks\{A9B7413A-2A89-4D1F-974E-8A3046D7703E} => pcalua.exe -a "C:\Program Files (x86)\Outlast\Binaries\UnSetup.exe" -d "C:\Program Files (x86)\Outlast\Binaries" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163D CHR StartupUrls: Default -> "chrome://newtab/" FF user.js: detected! => C:\Users\TNR\AppData\Roaming\Mozilla\Firefox\Profiles\mla7rdpj.default\user.js C:\Program Files\qtcore4.dll C:\Program Files (x86)\qtcore4.dll C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Duel of Champions Launcher\Duel of Champions Launcher Website.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim\Uruchom program The Elder Scrolls V Skyrim.lnk C:\ProgramData\Windows Service Manager0 C:\Users\TNR\AppData\Local\CAF4267F-0CA6-4383-A2B2-515DD1A482A4.aplzod C:\Users\TNR\AppData\Local\genienext C:\Users\TNR\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\TNR\AppData\Local\Microsoft\Windows\GameExplorer\{2C22D370-3410-483C-8F22-E14B3AEED6CC} C:\Users\TNR\Desktop\SpyHunter 4.12.13.4202 + Patch C:\Users\TNR\Desktop\SpyHunter 4.12.13.4202 + Patch.rar C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Service Manager" /f Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{D16734C7-150F-3DC5-ADAC-15951B232AB6} /s CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Napraw uszkodony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\TNR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Dokładnie wypowiedz się co się dzieje po w/w naprawach.

SpyHunter to program-naciągacz z czarnej listy - pojawia się w wysoko pozycjonowanych na Google manipulowanych opisach "usuwania infekcji", byle go zainstalować i natknąć się na "opłaty". A kysz, a kysz! Nie pokazałeś co on rzekomo znalazł. I ten śmieciarski program w ogóle nie rozwiązał problemu - jest nadal duże śmietnisko adware, w tym czynne sterowniki adware. Ten ostatni fakt zapewne ma coś do rzeczy z mozolną poracą systemu i sieci, ale doinstalowany SpyHunter też dołożył cegłę. Do przeprowadzenia następujące operacje: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj adware, wątpliwy skaner, stare wersje i zbędniki: Adobe Reader 9.4.0 - Polish, Akamai NetSession Interface, FoxTab PDF Reader, Gadu-Gadu 10, Java™ 6 Update 22, Java™ 6 Update 31, Java™ 7 Update 4, JavaFX 2.1.0, OpenOffice.org 3.3, SpyHunter 4, SweetIM for Messenger 3.6, Update Manager for SweetPacks 1.0, YTD Video Downloader 4.3. ----> Jeśli tych dwóch programów typu "Sweet" nie będzie się dało odinstalować, to skorzystaj z tego narzędzia: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście SweetIM for Messenger 3.6 + Update Manager for SweetPacks 1.0 > Dalej. ----> Są tu także ślady niepoprawnie odinstalowanego McAfee i w tle chodzi stary McAfee SiteAdvisor. Zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib) R1 {58aaf827-6246-4d80-8213-f02005f6345c}w64; C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys [48776 2014-11-30] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-04-24] (StdLib) S1 F06DEFF2-5B9C-490D-910F-35D3A9119622; \??\C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc2.cfg [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1941029217-1621239754-420919328-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=TEUA&bmod=TEUA SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {817B9F6D-9CAF-499E-9906-6581FA90C6BB} URL = http://search.babylon.com/?q={searchTerms}&affID=110000&babsrc=SP_ss&mntrId=3c8da18d00000000000074de2bebcc12 SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {9017BACF-6012-4FBF-B98E-06FF65153EAC} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=349 SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=a13277-330&apn_uid=2285144208314075&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> {A4D199F8-A5D3-4859-87FE-963C70F4E5FA} URL = http://searchya.com/?chnl=tst-215&s=1&cr=1343013061&cd=2XzutAtN2Y1L1Qzu0D0CtD0E0AtCtA0AtB0A0AyC0AtCzz0DtN0D0TzutBtDtCtBtDyEtDzz&q={searchTerms} Toolbar: HKU\S-1-5-21-1941029217-1621239754-420919328-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HomePage: Default -> hxxp://rts.dsrlte.com?affID=na CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_46eb5e1d-f7f2-4562-8d60-f4ff377de045" CHR Extension: (SiteAdvisor) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho [2012-02-02] CHR Extension: (CinPl2.3c) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\iobcbdgacfkninlcbphihhdlkobkehia [2014-09-03] CHR Extension: (Allin1Convert) - C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfkanglmmnniiolknlhaajllgmlgcdkj [2014-01-30] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - No Path FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml FF Plugin-x32: @java.com/DTPlugin,version=10.4.1 -> C:\Windows\SysWOW64\npDeployJava1.dll (Oracle Corporation) FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor Task: {0591D8C2-1230-483F-8E07-25282BA9AD9E} - System32\Tasks\{053A3232-8627-4376-9855-ED352F3EEFA2} => Firefox.exe http://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?page=tsProgressBar Task: {38A75E1E-1A9D-404A-81BD-8E644A7966CE} - System32\Tasks\{0D06F980-7FB8-4AA8-A50C-FCA657668871} => pcalua.exe -a "C:\Program Files (x86)\PLAY ONLINE\uninst.exe" Task: {67E41725-63D5-4770-A5D8-146A6616813D} - System32\Tasks\DealPly => C:\Users\ALEKSA~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Dealply.job => C:\Users\ALEKSA~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\globalUpdate C:\Users\ALEKSANDRA\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\OpenOffice.org 3.3.lnk.Startup C:\Windows\System32\drivers\{58aaf827-6246-4d80-8213-f02005f6345c}w64.sys C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^ALEKSANDRA^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.3.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aeria Ignite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f CMD: sc config "Internet Manager. RunOuc" start= disabled CMD: sc config "PLAY ONLINE. RunOuc" start= disabled CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\ALEKSANDRA\AppData\Local CMD: dir /a C:\Users\ALEKSANDRA\AppData\LocalLow CMD: dir /a C:\Users\ALEKSANDRA\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Allin1Convert, CinPl2.3c, SiteAdvisor i co tam jeszcze podejrzanego widać. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

Widzę tu szczątki reklamiarzy (złapani via "downloadery" i pliki cracków/keygenów) oraz dziwne DNS z Tel Avivu: KLIK / KLIK. Tcpip\..\Interfaces\{0BF6663B-50CC-460D-B7A9-6339A7036649}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{17F13EC2-AACA-4ED9-907F-6593758DE0BF}: [NameServer] 31.168.228.244,82.166.96.242 Tcpip\..\Interfaces\{928E919F-C534-416D-93A0-A1A42CC22927}: [NameServer] 31.168.228.244,82.166.96.242 Do przeprowadzenia następujące działania: 1. Ustaw DNS z poziomu Windows (dla każdego z połączeń z osobna): KLIK. Wybierz opcję "Uzyskaj automatycznie". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 fdNEIMqQ; C:\ProgramData\otYUcrPH\fdNEIMqQ.exe [2733552 2015-02-15] (Rational Thought Solutions) R2 YouTubeDownload_A3; C:\Program Files (x86)\YouTube-Downloader\A3\youtubeserv.exe [2971224 2015-02-12] (Microsoftware) S3 SmbDrv; \SystemRoot\System32\drivers\Smb_driver_AMDASF.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] Task: {95B5993B-6401-4D91-985A-ED5D912FD952} - System32\Tasks\Binkiland lodi => Wscript.exe "C:\ProgramData\{C6F22E31-9670-FFB7-27F6-8F35F7745CBB}\1.9.1.1\fiber.js" "433a2f50726f6772616d446174612f7b43364632324533312d393637302d464642372d323746362d3846333546373734354342427d2f312e392e312e312f6c6f64692e646c6c" "687474703a2f2f73616f2e62696e6b702e636f6d2f" "--IsErIk" Task: {9E1FD56F-1110-4A5E-A63C-0C55910D27FD} - System32\Tasks\UKNC => C:\Users\Adrian\AppData\Roaming\UKNC.exe [2015-02-15] (HQ CinemaV15.02) Task: {F2912BD5-71BC-4C91-8FE7-0558A0104A46} - System32\Tasks\{E56E06C7-4926-4545-8719-D0830C9D4D4D} => pcalua.exe -a C:\Users\Adrian\AppData\Roaming\omniboxes\UninstallManager.exe -c -ptid=obw Task: C:\Windows\Tasks\Binkiland lodi.job => C:\Windows\system32\wscript.exe Task: C:\Windows\Tasks\UKNC.job => C:\Users\Adrian\AppData\Roaming\UKNC.exe Startup: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1AB14RN51.lnk HKLM-x32\...\Run: [gmsd_gb_141] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3032066820-4217908898-2940429015-1002\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-3032066820-4217908898-2940429015-1002\...\Policies\Explorer: [NoControlPanel] 0 AppInit_DLLs-x32: c:/progra~3/{c6f22~1/191~1.1/lodi.dll => c:/progra~3/{c6f22~1/191~1.1/lodi.dll [964608 2015-02-06] () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:55570;https=127.0.0.1:55570 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> {0b4d26f6-61a8-4463-99dd-5f2fe0400fa6} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hppp&ts=1424024485&from=squadm&uid=ST1500LM006XHN-M151RAD_S35UJ9AFB08930" C:\*.tmp C:\811675a7-6b00-4d66-89e4-2c63231d3d77 C:\Program Files (x86)\CloudScout Parental Control C:\Program Files (x86)\YouTube-Downloader C:\ProgramData\{C6F22E31-9670-FFB7-27F6-8F35F7745CBB} C:\ProgramData\{ebe603e3-29b5-181e-ebe6-603e329b0f8c} C:\ProgramData\{f6627632-43e3-1824-f662-2763243ed8c9} C:\ProgramData\otYUcrPH C:\rei C:\Users\Adrian\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Adrian\AppData\Local\HealthAlert C:\Users\Adrian\AppData\Roaming\UKNC C:\Users\Adrian\AppData\Roaming\UKNC.exe C:\Users\Adrian\AppData\Roaming\34444335-1424112260-3738-3844-3863BB9D9E86 C:\Users\Adrian\AppData\Roaming\omniboxes C:\Users\Adrian\Downloads\*crack*.exe C:\Users\Adrian\Downloads\*Keygen*.exe C:\Users\Adrian\Downloads\PremierDownloadManagerWrapper.ch.PremierDownloadManager_ag.oaofmoegfbfnnfaeembaimddemfjbefc.ch.exe C:\Users\Adrian\Downloads\ReimageRepair*.exe C:\Users\Adrian\Downloads\Setup*.exe C:\Windows\system32\Drivers\Msft_Kernel_webTinst_01009.Wdf CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz raporty z folderu C:\AdwCleaner (nie uruchamiaj go ponownie, chodzi o poprzednie wyniki). Poza tym, wyciągnij z kwarantanny FRST C:\FRST\Quarantine plik C:\Windows\Tasks\Binkiland lodi.job, spakuj do ZIP i prześlij mi go via jakiś serwis hostingowy.

Temat przenoszę do działu Windows. Przy niemożności uruchomienia usługi Instalator modułów Windows skan SFC jest awykonalny. W Dzienniku zdarzeń od razu był nagrany błąd uszkodzonego rejestru (kod 1017): System errors: ============= Error: (02/18/2015 04:16:48 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Instalator modułów systemu Windows zakończyła działanie; wystąpił następujący błąd: %%1017 Podlinkowane rozwiązania naprawy TrustedInstaller się nie aplikują, tu jest: "System próbował załadować lub przywrócić plik do Rejestru, ale określony plik nie jest w formacie plików rejestru". To oznacza uszkodzony któryś plik z C:\Windows\System32\config. W CBS.LOG powinien występować rekord podobny do: [Data - czas], Info CBS Failed to load the COMPONENTS hive from 'C:\Windows\System32\config\COMPONENTS' into registry key 'HKLM\COMPONENTS'. [hrESULT = 0x800703f9 - ERROR_NOT_REGISTRY_FILE] W związku z formą błędu rób Przywracanie systemu (równa się to odtworzeniu starszej postaci plików rejestru w C:\Windows\System32\config) do czasu, gdy nie było problemu, wybierając stosowny punkt: ==================== Restore Points ========================= 09-12-2014 17:36:57 avast! antivirus system restore point 20-01-2015 20:23:23 avast! antivirus system restore point 03-02-2015 19:59:11 Zaplanowany punkt kontrolny 15-02-2015 13:30:06 avast! antivirus system restore point Przywracanie systemu oczywiście odwróci cały skrypt FRST, ale on nie był istotny w kontekście sprawy. Po Przywracaniu należy zrobić nowe raporty FRST przedstawiające zmiany. Przy okazji komentarz: Firefoxa można było lepiej wyczyścić resetując go (objęłoby to więcej preferencji niż skrypt - w raporcie FRST były jeszcze powiązane z FF SearchPlugin preferencje SearchEngineOrder.* + Keyword.URL).

Był tu używany ComboFix i na ten temat: KLIK. Do przeprowadzenia następujące działania: 1. Włącz Przywracanie systemu, bo obecnie jest wyłączone. 2. Przez Panel sterowania odinstaluj: - Adware: PDF Converter Packages, TheSettlersOnline, Word Proser 1.10.0.9. - Stare wersje i zbędniki: Adobe Reader X (10.1.12) - Polish, Adobe Shockwave Player, Java 7 Update 71, Java™ 6 Update 31, Java™ 6 Update 5, Pasek narzędzi AOL 5.0. 3. Otwórz Notatnik i wklej w nim: CreateRestorePoint: S2 22134214; "C:\Windows\system32\rundll32.exe" "c:\Program Files\Super Optimizer\SupOptStats.dll",ENT S2 jipifety; C:\Users\hp\AppData\Roaming\VOPackage\VOsrv.exe [X] HKLM\...\Run: [rec_pl_12] => C:\Program Files\rec_pl_12\rec_pl_12.exe [3977360 2015-02-09] () HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\...\Run: [uTorrent] => "C:\Program Files\uTorrent\uTorrent.exe" /MINIMIZED Startup: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\superpc_soft_partner.lnk Task: {1C44BD21-E076-4B4D-B0D5-68BBFAE15C84} - System32\Tasks\TheSettlersOnline WW2 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {626D5690-68C0-49EA-B2E6-8AD9B518E021} - System32\Tasks\TheSettlersOnline WW1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {6C5E579E-B95B-4C4F-BFDE-6538CAAA9962} - System32\Tasks\TheSettlersOnline W1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {979224CD-4AD5-4D9B-A2AB-EE28446158FC} - System32\Tasks\TheSettlersOnline D1 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 Task: {B65B314E-E45F-4D1B-8A39-8C4CD64B66E2} - System32\Tasks\TheSettlersOnline W2 => Chrome.exe --app=http://www.thesettlersonline.pl/?pid=TSO_PL_05_0316_09_000_02_0514_00 --app-window-size=1280,720 GroupPolicyUsers\S-1-5-21-3814680480-1097625461-4125634967-1001\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-3814680480-1097625461-4125634967-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\hp\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{41BE5DC3-212A-44A3-8811-4A54E9D2884A}\InprocServer32 -> C:\Users\hp\AppData\LocalLow\uTorrentBar\prxtbuTo2.dll (ClientConnect Ltd.) CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> C:\Users\hp\AppData\Local\Conduit\Community Alerts\Alert.dll No File CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{A97B89CD-B65C-49DD-AF46-2B772C627456}\InprocServer32 -> C:\Users\hp\AppData\LocalLow\uTorrentBar\prxtbuTo2.dll (ClientConnect Ltd.) CustomCLSID: HKU\S-1-5-21-3814680480-1097625461-4125634967-1000_Classes\CLSID\{B6BB720C-25CB-11E0-B4E5-23EBDED72085}\InprocServer32 -> C:\Users\hp\AppData\Local\ASKTOO~1\DOWNLO~1\NEROOE~1.DLL No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru FF HKLM\...\Firefox\Extensions: [KavAntiBanner@Kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru FF HKLM\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 catchme; \??\C:\Users\hp\AppData\Local\Temp\catchme.sys [X] U1 eabfiltr; No ImagePath C:\Program Files\Liveistream C:\Program Files\rec_pl_12 C:\ProgramData\{e08b3aa0-5d5a-2bf1-e08b-b3aa05d5ea81} C:\ProgramData\Microsoft\Windows\GameExplorer\{7DE9FF1E-A810-4B8E-B166-A112726E15C4} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super Sterownik C:\Users\hp\AppData\Local\Google\Chrome C:\Users\hp\AppData\Local\rec_pl_12 C:\Users\hp\AppData\Local\Microsoft\Windows\GameExplorer\{DCEDE601-DFD6-4B41-8C8D-7CDDE0479595} C:\Users\hp\AppData\Local\Microsoft\Windows\GameExplorer\{76B9FFEC-BD30-4016-85B6-D6093422F318} C:\Users\hp\AppData\LocalLow\uTorrentBar C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TheSettlersOnline C:\Users\hp\Desktop\AdwCleaner — skrót.lnk C:\Users\hp\Desktop\Liveistream.lnk C:\Users\hp\Desktop\Play Games Online.url C:\Users\hp\Desktop\Super Sterownik Professional Edition.lnk C:\Users\hp\Documents\Bluetooth Exchange Folder\AdwCleaner.exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKU\S-1-5-21-3814680480-1097625461-4125634967-1001_Classes\CLSID /f Reg: reg delete "HKU\S-1-5-21-3814680480-1097625461-4125634967-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-3814680480-1097625461-4125634967-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi uprzednio używanych narzędzi (nie uruchamiaj tych programów ponownie!): C:\ComboFix.txt + pliki z katalogu C:\AdwCleaner.

Brakuje raportów FRST Shortcut oraz GMER. W Firefox jest jawne adware Positive Finds. Próbując rozwiązać problem stosowałeś wątpliwe lub niepotrzebne procedury: - Jest tu zainstalowany program-naciągacz z czarnej listy, czyli SpyHunter. - Są ślady stosowania ComboFix i na ten temat: KLIK. - Nie wiem dlaczego stosowałeś DelFix - to nie jest program do usuwania adware i infekcji, tylko narzędzi dianostycznych. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj przestarzały Spybot - Search & Destroy oraz dziadostwo SpyHunter 4. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1570813146-1399864326-2008803646-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1570813146-1399864326-2008803646-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File Task: {32DD3EEF-F844-44B8-802D-DA1B0C2C8A3B} - System32\Tasks\{922ABFEB-CEDC-4196-A864-4A33553BE7AA} => pcalua.exe -a C:\Users\Karol\Downloads\irfanview_lang_polski.exe -d C:\Users\Karol\Downloads Task: {3EBC219C-466B-42F4-ADAB-47F7054EA25D} - System32\Tasks\{00A9DED0-CEA2-492C-AB19-6D83720D08CE} => pcalua.exe -a C:\Users\Karol\Desktop\instaluj.exe -d C:\Users\Karol\Desktop S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\ProgramData\AVG C:\Users\Karol\AppData\Local\Avg C:\Users\Karol\AppData\Roaming\AVG Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Nic oczywistego tu nie widać. W Google Chrome jest następujące świeżo doinstalowane (jako ostatnie - najnowsza data, po nim już tylko Adblock Plus) rozszerzenie: CHR Extension: (JSON Formatter) - C:\Users\kolorowyguzik\AppData\Local\Google\Chrome\User Data\Default\Extensions\bcjindcccaagfpapjjmafapmmgkkhgoa [2015-02-19] Szukając wg identyfikatora rozszerzenia (bcjindcccaagfpapjjmafapmmgkkhgoa) JSON Formatter jakoby pochodzi z Chrome Web Store, ale tu z kolei ten sam identyfikator jest związany z niepożądanym obiektem, a wewnętrzny link aktualizacji przekierowuje na epicunitscan.info: KLIK. 1. Proponuję sprawdzić wstępnie czy deaktywacja tego rozszerzenia powoduje ustąpienie reklam. Ustawienia > karta Rozszerzenia > wyłącz JSON Formatter > zrestartuj Chrome. Jeśli brak zmian: 2. Zresetuj preferencje. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Jeśli brak zmian: 3. Wykonaj kompleksową reinstalację przelądarki. Wyeksportuj tylko zakładki. Następnie odinstaluj przeglądarkę, przy deinstalacji zaznacz Usuń także dane przeglądarki.

Temat czyszczę ze zbędnych postów. desire1988 proszę dostosuj się do zasad działu, przecież żadne obowiązkoweraporty nie zostały podane. Proszę dostarcz obowiązkowe raporty z FRST i GMER - to jest wymagane, by mieć odppowiedni kontekst do jakichkolwiek wyników skanowania (AdwCleaner i inne). Logi mają być dołączone w postaci oryginalnych plików jako załączniki, nie wklejaj w postach.

Ja jednak sądzę, że plik się zapisał w pierwszym podejściu, bo to drugie uruchomienie nadpisało poprzednie wyniki - brak jakichkolwiek oznak usuwania. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

beegeegrey, proszę trzymaj się moich instrukcji 1:1. Jeśli nie podaję żadnego Fix do FRST, ani nie podaję w poście wskazówek typu "powtórz punkt numer..." = nie uruchamiać. Miałeś tylko dokasować podany plik ręcznie, poprzedni Fixlist nieaktualny - nawiasem mówiąc ciągle ten sam problem z przeklejaniem i znów przełamania linii gdzie nie miało ich być. I Fixlist wskazuje, że AdwCleaner był uruchamiany ponownie, nie wiadomo w jakim celu, skoro z nim już był koniec zadań. Odpowiedz na pytanie co to była za akcja.

Logi z przestarzałego OTL nie są już obowiązkowe i je usuwam. W Firefox jest adware Strong Signal, szczątki tego adware są również w innych częściach systemu. Do wdrożenia następujące działania: 1. Odinstaluj program DriverDoc wątpliwego producenta "Solvusoft Corporation". 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150217 HKU\S-1-5-21-859423121-132849420-3883132106-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150217 BHO: No Name -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> No File CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-12-09] CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{08244EE6-92F0-47F2-9FC9-929BAA2E7235}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{1F486A52-3CB1-48FD-8F50-B8DC300D9F9D}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{4E77131D-3629-431C-9818-C5679DC83E81}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-859423121-132849420-3883132106-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> No File Path C:\Program Files\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\McAfee C:\Users\Blysku\Downloads\adwcleaner*.exe C:\Users\Blysku\Downloads\wlsetup-web*.exe CMD: for /d %f in (C:\Users\Blysku\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W systemie są dwa konta: ==================== Accounts: ============================= Blysku (S-1-5-21-859423121-132849420-3883132106-1001 - Administrator - Enabled) => C:\Users\Blysku Błysku (S-1-5-21-859423121-132849420-3883132106-1000 - Administrator - Enabled) => C:\Users\Błysku Logi pochodzą z konta Blysku - czy to drugie jest używane? Jeśli nie, to je usuń. Jeśli jednak tak, to wymagane raporty FRST (z Addition, ale bez Shortcut) będąc zalogowanym na każdym koncie po kolei (poprzez pełny restart komputera a nie Wyloguj czy przełącz użytkownika). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj narzędzia ponownie, chodzi o wyniki poprzedniego usuwania)

Nie wiem jaki jest cel tytułowego działania, ale sugeruję postawić na inną trwalszą formę kopii zapasowej. Punkty Przywracania są efemeryczne i w niesprecyzowanym momencie czasowym ten punkt i tak zostanie skasowany przez system, by zrobić miejsce na nowsze. W raportach nic podejrzanego, ale: 1. Do deinstalacji stare dziurawe wersje: Adobe Flash Player 10 ActiveX, COMODO (komponenty z 2010!), Java™ 6 Update 30, OpenOffice.org 3.2 (nie potrafi współpracować z Java 7 i 8). Pozbądź się również Windows Installer Clean Up - to przeterminowany program wycofany ze względu na błędy, zastąpiony nowym bezinstalacyjnym narzędziem Microsoftu: KLIK. 2. Usunięcie archaicznego sterownika Afc filtrującego napędy CD/DVD (pozostawiony po jakimś programie do nagrywania) oraz kosmetyka (likwidacja mini-szczątków adware, wpisów pustych i Temp). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R3 Afc; C:\windows\System32\drivers\Afc.sys [11776 2005-02-23] (Arcsoft, Inc.) [File not signed] HKU\S-1-5-21-3403392427-2311443338-2248401027-1000\...\Winlogon: [shell] C:\windows\Explorer.exe [2616320 2011-02-25] (Microsoft Corporation) HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun Task: {195DB492-9718-4807-B72D-583D762D5A5F} - System32\Tasks\{9789D52F-AD84-4C1E-8B2F-3724800B8F1F} => pcalua.exe -a E:\dcim.exe -d E:\ Task: {211398CC-ECBE-4542-AF35-323FC800C0FC} - System32\Tasks\{D78B7B9D-0C7C-4255-B7B3-ED8E65D13B21} => C:\Users\Patryk\Downloads\Deluxe-Ski-Jump-21-Full\DSJ.EXE Task: {3387CF3C-D2FC-42E3-8A93-A76C8CC0AABB} - System32\Tasks\Digital Sites => C:\Users\Patryk\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: {AE23505A-E6D2-4A32-BD77-AA88E2B47AD7} - System32\Tasks\{11CDB7EE-63D0-47F5-AA5F-37533B76A195} => pcalua.exe -a C:\Users\Patryk\Downloads\Flash_Disinfector.exe -d "C:\Program Files\Mozilla Firefox" Task: C:\windows\Tasks\Digital Sites.job => C:\Users\Patryk\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE S3 DIRECTIORM; \??\c:\Program Files\RAMMon\DirectIo32.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] SearchScopes: HKLM -> DefaultScope value is missing. Toolbar: HKU\S-1-5-21-3403392427-2311443338-2248401027-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF NetworkProxy: "share_proxy_settings", true FF NetworkProxy: "type", 0 C:\Program Files\mozilla firefox\plugins C:\ProgramData\044CE38ECF.sys C:\ProgramData\KGyGaAvL.sys C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burger Island C:\ProgramData\Microsoft\Windows\Start Menu\Programs\K3DSurf 0.6.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MfGware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Secret Of Monkey Island 2 LeChuck's Revenge [PL] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\ProgramData\Temp C:\Users\Default\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Patryk\AppData\Local\unzip.exe C:\Users\Patryk\AppData\Roaming\*.dll C:\Users\Patryk\AppData\Roaming\LiveUpdate.exe C:\Users\Patryk\AppData\Roaming\LiveUpdate.ini C:\Users\Patryk\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\PDF Reader PDF Reader.lnk C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\PDF Reader Uninstall PDF Reader.lnk C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Pakiet JZK C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pakiet JZK C:\Users\Patryk\Documents\Corel\CorelDRAW X5 Samples\target.lnk C:\windows\System32\drivers\Afc.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PDF Reader Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUS Screen Saver Protector" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\COMODO Internet Security" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EeeStorageBackup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LivCam" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UCam_Menu" /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji COMODO (o ile nadal będzie w systemie), musi zostać wyłączony, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

MarkFrank Zasady działu nie przeczytane: KLIK. Tu jest zakaz podpinania się pod cudze tematy i post poleci do kosza. Proszę założyć własny temat, dostarczyć obowiązkowe raporty z FRST i GMER i pokazać też co za "fixlist" był przetwarzany. kajak Proszę nie twórz postów-duplikatów, bo to nie przyśpieszy spraw - duplikat leci do kosza. Temat zostanie rozpatrzony w stosownym czasie bez przypominania. I na temat używania ComboFix: KLIK. EDIT: Raporty przejrzane. Do wykonania jeszcze poboczne zadania, tzn. usunięcie przekierowań easy-google-search.blogspot.com, czyszczenie bufora DNS i lokalizacji Temp. 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2773007221-4202116597-1637250590-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-google-search.blogspot.com HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\ProgramData\Microsoft\Windows\GameExplorer\{2E842A51-A31E-4480-8CE4-158279A57CAE} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. 4. W Dzienniku zdarzeń są tego typu błędy: System errors: ============= Error: (02/17/2015 07:13:54 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT) Description: Wystąpił krytyczny błąd sprzętowy. Zgłoszone przez składnik: rdzeń procesora Źródło błędu: 3 Typ błędu: 9 Identyfikator procesora: 0 Widok szczegółów tego wpisu zawiera dodatkowe informacje. Pod tym kątem załóż nowy temat w dziale Hardware podając dane wymagane działem: KLIK.

Istotnie, kluczowe były instalacje programów emulujących Alcohol / AstroBurn / DAEMON, z tym że uruchamiałeś "downloader" a nie docelowy właściwy instalator i stąd ogromne śmietnisko. Oryginalne instalatory również serwują śmieci (i np. wg raportu wślizgnęły się pewne dodatki), ale to inna sprawa. 2015-02-14 16:35 - 2015-02-14 16:35 - 00799744 _____ (Software ) C:\Users\samsung\Desktop\downloader_for_Alcohol120_FE_2.0.3.6951.exe Przeprowadź następujące działania: 1. Z Alcoholem zainstalował się także zbędny Smart File Advisor 1.1.7. Odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw; C:\windows\System32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw.sys [43152 2015-02-14] (StdLib) R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487056 2015-02-14] (SysTool PasSame LIMITED) S2 Update Clock Hand; "C:\Program Files\Clock Hand\updateClockHand.exe" [X] CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT" CHR DefaultSearchKeyword: Default -> key-find HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hppp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=dspp&ts=1423928254&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK3265GSX_80N5P1MLTXX80N5P1MLT&ts=1423928276&type=default&q={searchTerms} BHO: Positive Finds -> {30c85a3d-1d96-4589-b63f-91fb7ef45a41} -> C:\Program Files\Positive Finds\Extensions\30c85a3d-1d96-4589-b63f-91fb7ef45a41.dll No File BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) Task: {E3800761-2128-4596-A5EF-4A6B65A8227E} - System32\Tasks\{E8C1FC11-4F63-412D-B6EB-60E47179B297} => pcalua.exe -a "D:\gry instalki\Sims.3.Razor1911.PL\Sims3_1.8.25.003002_from_1.0.631.00002.exe" -d "D:\gry instalki\Sims.3.Razor1911.PL" C:\Program Files\Alcohol Soft C:\Program Files\Clock Hand C:\Program Files\XTab C:\ProgramData\{*}.log C:\ProgramData\Arcade Lab C:\ProgramData\Astroburn Lite C:\ProgramData\d2d4a9d3-f3f1-4c52-8d3f-dddc91fe0602 C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samsung\AppData\Roaming\OpenCandy C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk C:\Users\samsung\Desktop\Infa LAB\Infa LAB\Access\offline\htm\Notatnik.lnk C:\Users\samsung\Desktop\downloader_for_Alcohol120_FE_2.0.3.6951.exe C:\Users\Public\Documents\DAEMON Tools Images C:\windows\System32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy key-find oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na razie sprawa wygląda na banalną, czyli po prostu rekonfiguracja jednej opcji w Google Chrome. Do przeprowadzenia następujące działania: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mystartsearch.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\Install\oa3\ASUS\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X] Task: {6B7860E0-0E16-438A-A470-47F434C1153E} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-729605858-322563252-4247369298-1003 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe Task: {C2235C9B-F487-4D6E-A9E1-E6FFC47403F2} - System32\Tasks\{A1A6E7D9-78E0-4D3F-983E-73F542D70DBD} => pcalua.exe -a "C:\ProgramData\G Data\Setups\{85203592-3610-4FB9-AA11-15B2255B5A12}\setup.exe" -c /InstallMode=Uninstall /_DoNotShowChange=true ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\ProgramData\TEMP Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach nie widać żadnych obiektów adware. Skoro nadal są reklamy w Google Chrome, jest to zaszyte gdzieś mocno w przeglądarce. Wstępne działania: 1. Odinstaluj zbędniki i starsze wersje: Akamai NetSession Interface, Java 7 Update 67, Java 8 Update 25. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane obiekty. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X] S3 dcdbas; system32\DRIVERS\dcdbas32.sys [X] Task: {1DE39C38-69FB-4786-A03F-CC9A9FE57F75} - System32\Tasks\{7255226E-3E75-4C90-B3ED-8BA7072D468F} => pcalua.exe -a C:\Users\dom\Downloads\GFX_Win7_15.12.75.4.1930_PV_Intel.exe -d C:\Users\dom\Downloads Task: {2159DDD7-DAD7-411D-BC0B-BD620B4923E0} - System32\Tasks\{4C4C9318-B8D5-4268-AC75-3ABD4C870EE8} => pcalua.exe -a "C:\Users\dom\Downloads\Audio_Realtek_Asus_September_2014\Windows 7, 8, 8.1 и Vista\Setup.exe" -d "C:\Users\dom\Downloads\Audio_Realtek_Asus_September_2014\Windows 7, 8, 8.1 и Vista" Task: {2E2478E2-A0BE-4BED-9AC2-AB6833026E02} - System32\Tasks\{D6E604CB-A3AF-45EF-A63B-3DAF7CFEA9D4} => pcalua.exe -a C:\Users\dom\Downloads\CrystalLauncher-Installer.exe -d C:\Users\dom\Downloads Task: {36A292ED-5870-4294-88B6-D8A3A4E84CB1} - System32\Tasks\{B5DCB01F-B59E-4510-A43F-E27FF3411572} => pcalua.exe -a "C:\Program Files\YouTube Accelerator\YTAUninstall.exe" HKU\S-1-5-21-3115265202-861073304-1815682740-1000\...\MountPoints2: {e27e6af8-5e5e-11e4-a306-6c71d9bc607c} - F:\sources\sperr32.exe x64 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\$360Section C:\Program Files\360 C:\ProgramData\360Quarant C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk C:\Users\dom\AppData\Roaming\OJP C:\Users\dom\AppData\Roaming\XTZSVL C:\Users\dom\Downloads\*(*)-dp*.exe C:\Users\dom\Downloads\AdwCleaner*.exe C:\Windows\Tasks\360Disabled Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\ProgramData\TEMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany, nie uruchamiaj programu ponownie, chodzi o poprzednie rezultaty). Wypowiedz się czy reklamy nadal występują.

W przeglądarkach Firefox i Google Chrome jest adware Strong Signal, są też inne niepożądane aplikacje. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware/PUP: key-find uninstall, Registry Dr, Strong Signal. Pozbądź się też DriverPack Solution Updater. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://www.key-find.com/?type=hppp&ts=1423750696&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9GF836649 CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hppp&ts=1423750696&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9GF836649" CHR DefaultSearchKeyword: Default -> key-find CHR Extension: (Strong Signal) - C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\lchgpdbcbebecigcoclaoebchenjbgak [2015-02-13] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKU\S-1-5-21-572225163-2724440774-3182437306-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {DC3BBE5C-44BA-4875-B086-3C072F4848D2} - System32\Tasks\{5C8E8B62-0BC9-4F0B-820E-4378A507CDEF} => pcalua.exe -a "C:\drivers\AMD Video Driver\Setup.exe" -d "C:\drivers\AMD Video Driver" C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bartek\Downloads\WinAVI_Video_Converter*.exe C:\Windows\msdownld.tmp CMD: for /d %f in (C:\Users\Bartek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie YouTube Center trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Strong Signal Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włączysz ponownie ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy key-find oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Jest tu także przeglądarka Comodo Dragon. FRST nie skanuje jej preferencji. Powtórz podobne kroki jak dla Google Chrome. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie programu, chodzi o sprawdzenie co usuwano wcześniej).

Do wdrożenia następujące działania: 1. Na początek zredukuj ilość antywirusów, bo jest tu niezdrowa sytuacja. Odinstaluj albo AVG 2015, albo COMODO Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2725652805-2884153030-3423392268-1000\...\Run: [nvxasync] => C:\Users\bart\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-15] () HKU\S-1-5-21-2725652805-2884153030-3423392268-1000\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-15] () HKU\S-1-5-21-2725652805-2884153030-3423392268-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-2725652805-2884153030-3423392268-1000 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-2725652805-2884153030-3423392268-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 C:\ProgramData\nvxasync C:\Users\bart\AppData\Local\Preferences C:\Users\bart\AppData\Local\Secure Preferences C:\Users\bart\AppData\Roaming\chportu C:\Users\bart\AppData\Roaming\nvxasync EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Jeśli to COMODO pozostanie, należy go wyłączyć, by nie zablokował operacji FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Firefox był już resetowany, ale logi pochodzą sprzed kilku dni (w tle cały czas czynna infekcja), więc zrób to jeszcze raz: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

piter, jeśli nikt jeszcze nie odpisał, proszę nie twórz posta pod postem tylko uzupełniaj informacje via opcja Edytuj. Cała seria postów powyżej sklejona w jeden post. Druga sprawa: jak zasady prawią, linki przekierowań mają być podawane w postaci nieaktywnej - link w pierwszym poście "zdeaktywowany". Wracając do problemu adware, na początek deinstalacje. To jedynie wstęp i nie rozwiąże problemu do końca, poprawki zostaną zadane po ukończeniu tej pierwszej fazy. Na początek więc: 1. Przez Panel sterowania odinstaluj te pozycje adware: BubbleSound, GamesDesktop 013.130, Software Updater. 2. Pobierz najnopwszą wersję FRST z przyklejonego: KLIK. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut).

Madzio, problem podstawowy został sformułowany nieprecyzyjnie (koncentracja uwagi na błędzie startowym po nieprawidłowo odinstalowanym TuneUp), a temat założony w złym dziale (diagnostyki infekcji). Przecież problem z monitorem to jest problem sprzętowy. Temat przenoszę do działu Hardware, usuwam raporty z FRST, gdyż są nieistotne w kontekście problemu. Dostarcz dane sprzętowe: KLIK. I proszę nie tworzyć tematów-duplikatów, usuwam duplikat.

Błąd tworzy adware serii "SqueakyChocolate". Proszę dostarcz raporty z FRST i to poprawnie, nie tak jak w poprzednich nieudanych tematach. Raporty mają być w postaci załączników forum (doczepione oryginalne pliki), a nie wklejane w poście. W poprzednich tematach z gasnącym monitorem (duplikat!) raporty FRST zostały niepoprawnie wklejone w postach i zniekształcone.

Proszę nie zniekształcaj raportów z FRST - dostarczone pliki to nie są oryginały, tylko przeklejona wtórnie treść zapisana ponownie do nowych plików. Skutki: "Additional.txt" to sieczka przejść do nowych linii w środku i fatalnie się to czyta, wszystkie raporty są w złym kodowaniu ANSI (a nie UTF-8 jak oryginały), które powoduje utratę specjalnych znaków. Jest tu infekcja routera, pierwszy adres jest ukraiński: KLIK. To jest główny powód występowania erostron i tego nie rozwiąże żaden antywirus czy inne narzędzie uruchomione spod Windows, problem leży w innym urządzeniu. Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Poza tym, są mniejsze śmieci w postaci różnych obiektów adware (niektóre w systemie od bardzo dawna). Do wdrożenia następujące operacje: 1. Jeśli masz dostęp, zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Zrób nowe logi FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dostarcz oryginalne pliki a nie "przeklejki".