picasso

Nie chodziło mi o log OTL (usuwam), tylko log z wynikami skryptu OTL z folderu C:\_OTL. Co było robione już jednak wiem z tematu na innym forum. Uwaga co do tego co próbowano robić wcześniej: Wracając tu do tematu: 1. Mówiłam, by na razie tylko odinstalować stare wersje Adobe i Java, nie instalować jeszcze nowych. Pośpieszyłeś się, a poprzednie zadanie nie zostało wykonane do końca. Na liście zainstalowanych widać nadal starą niebezpieczną wersję Java™ 6 Update 31. To do deinstalacji. 2. Google Chrome wprawdzie odinstalowany, ale i tak niekompletnie (pozostał ukryty aktualizator oraz cały profil na dysku). Pod tym kątem + inne drobnostki: ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Google Update Helper > Dalej. ----> Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Google C:\Users\samuel\AppData\Local\Google S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Nadal jest notowane uszkodzenie WMI. Czy na pewno importowałeś plik FIX.REG? Nie widzę śladów w logu, byś nawet zapisywał ten plik. ==================== Restore Points ========================= Check "winmgmt" service or repair WMI.

Brakuje nowego raportu:

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj. Posty skleiłam. Proszę trzymaj się konfiguracji FRST opisanej w przyklejonym - opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Deinstalacja YAC pomogła, ale tu jeszcze są roboty do przeprowadzenia. Deinstalując Spybota nie skonfigurowałeś go, by odwrócił modyfikację pliku HOSTS (archaiczna metoda zabezpieczeń). Obecnie plik parsuje kilka tysięcy wpisów. To nie jest zdrowe i obciąża usługę Klient DNS. W krytycznym przypadku może prowadzić do gorszych efektów, jak zawieszenie aplikacji i całego systemu. Przykład: KLIK. Jest notowane także naruszenie WMI systemowego: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. Wstępnie do korekty HOSTS, WMI, stare aplikacje i śmieci (puste wpisy i Tempy): 1. Odinstaluj starocie: Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java™ 6 Update 31, Microsoft Silverlight, OpenOffice.org 3.3. Na razie nic nowego nie instaluj, to na końcu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {02342BA8-1F97-4486-B73F-CCCFB6EAB614} - System32\Tasks\{A3ADDE34-A69A-443E-868B-1157B8650D50} => C:\Program Files (x86)\uTorrent\uTorrent.exe Task: {08CA7C71-9203-4DB5-B98F-744DE3664F9F} - System32\Tasks\{49AB9473-0DA4-4438-A335-938FB4E6277D} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {0E647A55-E4D5-4428-A945-48A43E1B6394} - System32\Tasks\{4F99C9D9-7C34-4232-A9D7-7504419865E6} => C:\Program Files (x86)\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe Task: {11199485-6F04-44C8-9F2F-E78B46F26D3E} - System32\Tasks\{D3CE1147-71A8-4872-8D83-3E4C1F5876E3} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1603 Task: {191A5B15-3DCE-4D94-8996-4DFA13C2B2C3} - \Microsoft\a3d90235e1136671ab1195c6078184ff No Task File Task: {1EFE367F-B190-4C82-A94C-CF5637158907} - System32\Tasks\{F1FF7067-69CC-49D9-BEB0-5358CA94C3A1} => pcalua.exe -a C:\Users\samuel\Desktop\WDM_R256.exe -d C:\Users\samuel\Desktop Task: {21D3EF7E-4F67-4C5E-A56F-35CB707134F1} - System32\Tasks\{2D4353D4-60E6-439C-AD19-76A6547FF299} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {2457ABC6-EB07-48E9-9EBF-3E0C9260F1CD} - System32\Tasks\{C665546C-DF02-4E92-BEB6-813D16334E3D} => pcalua.exe -a "C:\Users\samuel\Downloads\Foxit PDF Editor(1).exe" -d "C:\Program Files (x86)\Mozilla Firefox" Task: {24E3E8C9-E9FB-4097-9091-4BD30CEB0514} - System32\Tasks\{5B6E5AFA-B9AD-4D55-AFC7-BE56532FF56F} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {3D5F7AD1-F88B-4BB7-877B-E3ECF6233414} - System32\Tasks\{313A6ECC-109E-4AE3-B793-A18CCEF0DD85} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {5764AD4A-0586-4F21-8EC0-841BC49FEC17} - System32\Tasks\{E7BD2750-ACB0-4066-AC6C-48FBB50F1DC7} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2sp_s.exe Task: {57A75B0B-C7A9-4F11-A5B8-BA54D58A9898} - System32\Tasks\{AF56E460-FF57-4969-8597-8794D4D515E6} => pcalua.exe -a F:\autorun.exe -d F:\ Task: {81BECB83-7570-4718-B024-FBC5071E87AF} - System32\Tasks\{FF881A25-8E88-4169-BFC2-EE27CC6DEB25} => pcalua.exe -a C:\Users\samuel\Downloads\LCVA_PCDrv_US_1_11_02.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {8A61FF7C-D949-47FC-9172-A46415DFE2F2} - System32\Tasks\{C22A0D16-2044-40D4-AF92-23EF5EA1BB51} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe Task: {976C87CF-DF58-4847-8AA2-7E8173A83929} - System32\Tasks\{28417D02-EBFD-41EA-B0E8-0B5F8F1ADA8D} => pcalua.exe -a C:\Users\samuel\Desktop\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Desktop Task: {A7DC78F7-0BE7-447E-A160-5BFFD1B4AF78} - System32\Tasks\{07D26930-5FD6-4823-A585-C3859560237B} => pcalua.exe -a C:\Users\samuel\Desktop\hookanalyzer.exe -d C:\Users\samuel\Desktop Task: {AB0F3DE5-A4C1-49B5-8F64-95830E4364DC} - System32\Tasks\{B82254B4-0D89-4F34-85B2-0DC1E9C3737A} => pcalua.exe -a C:\Users\samuel\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=amt Task: {B09C147F-D510-4D7E-8A93-619213A2A2BE} - \QtraxPlayer No Task File Task: {BB001966-9469-4BB0-B351-4F2773E57A57} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {CABC753A-19C2-4EDA-9A57-B18F2C040742} - System32\Tasks\{27C34344-F5D7-4B1C-947A-76C691E7525C} => pcalua.exe -a C:\Users\samuel\Downloads\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Downloads Task: {D71E0FAD-2E0B-4329-B1FE-193666669EB8} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: {D810D586-B7EB-4647-9342-2614B6B70338} - System32\Tasks\Games\UpdateCheck_S-1-5-21-1222532900-2107887203-1818822403-1001 Task: {D93856B1-BDAC-4B9D-B078-75CD068192D7} - System32\Tasks\{5872F498-6809-4661-B77B-EEC5C706781C} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {E5903908-6724-42EE-9EE0-FEDF24A7D0ED} - System32\Tasks\{48918098-EC4C-41E7-B2C3-C8452722B4C3} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {EA834288-635E-4327-9996-A60CBE2D5546} - System32\Tasks\{B926C8C1-52B1-480A-A448-7612E5C2B4A6} => msiexec.exe /package "C:\Users\samuel\Downloads\eav_nt64_plk.msi" Task: {EB9AAAD2-475F-46BA-BA85-B5DAFAC98A22} - System32\Tasks\{F85E9ECB-762F-48CD-8E26-BF2E147CB6BF} => C:\Program Files (x86)\uTorrent\uTorrent.exe Task: {F59D6180-9127-4189-B324-66E77FD61BE2} - System32\Tasks\{38B14F9A-AD01-400F-ADA8-1B21C4F47B85} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe HKU\S-1-5-21-1222532900-2107887203-1818822403-1001\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.) BootExecute: autocheck autochk * sdnclean64.exe S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\samuel\AppData\Local\Temp\crx8C1D.tmp [Not Found] CHR HKLM-x32\...\Chrome\Extension: [hidjnkeodmholilgafgdlgmgggbhnigl] - C:\Users\samuel\AppData\Roaming\SimilarSites\similarsites.crx [Not Found] C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\APN C:\ProgramData\Spybot - Search & Destroy C:\Users\admin\AppData\Roaming\Elex-tech C:\Users\admin\Desktop\install_flashplayer16x32_mssd_aaa_aih.exe C:\Users\admin\Downloads\jxpiinstall.exe C:\Users\samuel\AppData\Local\{1DD15D88-7754-4AD0-A18C-27393E714A3B} C:\Users\samuel\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samuel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci (2).lnk C:\Users\samuel\Downloads\spybot-2.4.exe C:\Windows\pss\fabulous_08150939.lnk.Startup C:\Windows\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\fabulous_08150939 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdGuardianDefaultInstance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdServerDefaultInstance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\OMSI download service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^samuel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^fabulous_08150939.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fabulous_08150939" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config FoxitCloudUpdateService start= demand CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponowie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Poza tym, tu było coś kombinowane, są ślady uruchamiania jakiegoś skryptu do OTL - proszę mi podać link do tematu na tym innym forum oraz log z folderu C:\_OTL (by log wszedł w załącznik, należy mu zmienić nazwę z *.LOG na *.TXT).

Trzeba nanieść poprawki na wyniki AdwCleaner. Nie wszystkie wyniki są do usunięcia (fałszywe alarmy na OneClickInternet, trzeba przewertować też wyniki z rejestru czy aby nie ma czegoś poiązanego). Na przejrzenie raportu potrzebuję trochę czasu. Na razie skomentuję: Ta część tycząca Google Chrome nie została poprawnie wykonana: AdwCleaner widzi nadal wyszukiwarki search.delta-homes.com + default-search.net. Usuń je z poziomu opcji Google Chrome.

Do usunięcia jeszcze przestarzały Spybot - Search & Destroy 2. Następnie wróć do instrukcji tworzenia raportów i dostarcz komplet logów. FRST tworzy trzy logi.

Program nie został poprawnie pobrany, plik jest uszkodzony. Należy pobrać ponownie. Ale zanim to zrobisz, przygotuj grunt: - Odinstaluj wątpliwy YAC (Yet Another Cleaner) - to jest podejrzany program i może tworzyć problemy. Temat z forum: KLIK. Deinstalacja szkodnika YAC już może pomóc usprawnić system. - Odinstaluj przestarzały Spybot - Search & Destroy 2. - Wyłącz osłony Avast. Heurystyka Avast obecnie uniemożliwia pobranie FRST (klasyfikuje jako "malware" i blokuje ściąganie).

Nie wygląda na to, by Zoek cokolwiek zrobił. Klucz zostanie usunięty za pomocą FRST. Do Notatnika wklej: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Detekcje są błahe, lecz zgodne z prawdą. To są po prostu wykryte instalatory mające adware / niechciane instalacje dodatowe: - CDBurnerXP: integracja platformy reklamodawczej OpenCandy. Należy pobierać wersję bez sponsora. - Alcohol 120%: wymuszanie instalacji Smart File Advisor. Detekcja wielokrotna, gdyż ESET wykrył pobrany instalator, jego fragment w Tempach oraz Koszu, plus link dobrychprogramów. Notabene, uwaga na dobreprogramy.pl i inne portale: KLIK. Oznak infekcji brak, ale możesz wykonać kosmetykę pustych wpisów i czyszczenie Temp. W Addition są też następujące zgłoszenia: ==================== Restore Points ========================= ATTENTION: System Restore is disabled. Check "winmgmt" service or repair WMI. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Następnie włącz Przywracanie systemu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2660333226-2956138994-4221737075-1000\...\Run: [Power2GoExpress] => NA BootExecute: autocheck autochk * sdnclean64.exe ProxyServer: [s-1-5-21-2660333226-2956138994-4221737075-1001] => localhost:8080 SearchScopes: HKU\S-1-5-21-2660333226-2956138994-4221737075-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 IAStorDataMgrSvc; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U2 wlidsvc; No ImagePath C:\Users\Pit\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\UpdatusUser\Desktop\*.lnk RemoveDirectory: D:\$RECYCLE.BIN Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, ale dostarcz tylko nowy plik Addition. Dołącz też plik fixlog.txt.

Próbując rozwiązać problem zainstalowałeś program z czarnej listy - SpyHunter. Z daleka od tego wątpliwego produktu! Infekcję Surfvox nabyłeś przypuszczalnie z jakiejś lewej paczki pobranej z torrent lub innego podejrzanego źródła. Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj SpyHunter i starą wersję Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-922980303-2826830891-3979983212-1001\...\Run: [nvxasync] => C:\Users\Marek Markiewicz\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-11] () HKU\S-1-5-21-922980303-2826830891-3979983212-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-11] () InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\more.url -> hxxp://adf.ly/pRzv6 InternetURL: C:\Users\Marek Markiewicz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VLC Helper.com.url -> C:\ProgramData\vlc_64.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; \SystemRoot\system32\DRIVERS\ewusbdev.sys [X] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKU\S-1-5-21-922980303-2826830891-3979983212-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-922980303-2826830891-3979983212-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-922980303-2826830891-3979983212-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 CHR HomePage: Default -> hxxp://www.surfvox.com/ CHR StartupUrls: Default -> "hxxp://www.surfvox.com/" CHR DefaultSearchKeyword: Default -> surfvox.com CHR DefaultSearchURL: Default -> http://www.google.com/?cx=partner-pub-0900663996874144%3A6813731868&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.surfvox.com%2F&ref=&ss= C:\ProgramData\vlc_64.exe C:\ProgramData\nvxasync C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Real Boxing C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VobSub C:\Users\Marek Markiewicz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek Markiewicz\AppData\Roaming\chportu C:\Users\Marek Markiewicz\AppData\Roaming\nvxasync C:\Users\Marek Markiewicz\AppData\Roaming\Microsoft\Word\siwz_10.02.2015%20wod-kan304268852970682016\siwz_10.02.2015%20wod-kan.doc.lnk C:\Users\Marek Markiewicz\Downloads\SpyHunter 4.12.13.4202 + Patch C:\Users\Marek Markiewicz\Downloads\SpyHunter* C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v more.url /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Nvtmru /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy fałszywą wyszukiwarkę Google która kieruje do surfvox.com: hxxp://www.google.com/?cx=partner-pub-0900663996874144%3A6813731868&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.surfvox.com%2F&ref=&ss=. Nie ruszaj poprawnej wyszukiwarki Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt,

Skan FRST wykazuje rozwalone klasy związane z asygnacją domyślnej przeglądarki. Operacja wstępna: 1. Na początek spróbuj przeładować ustawienia za pomocą opcji, dwukrotnie je przebijając. - Panel sterowania > Sieć i Internet > Opcje internetowe > Programy > Ustaw jako domyślny. - W Operze: Ustawienia > Ustaw przeglądarkę Opera jako domyślna. 2. Po tej akcji nowy skan FRST - do Notatnika wklej: Reg: reg query HKCU\Software\Classes\.crx /s Reg: reg query HKCU\Software\Classes\.htm /s Reg: reg query HKCU\Software\Classes\.html /s Reg: reg query HKCU\Software\Classes\.nex /s Reg: reg query HKCU\Software\Classes\.shtml /s Reg: reg query HKCU\Software\Classes\.xht /s Reg: reg query HKCU\Software\Classes\.xhtml /s Reg: reg query HKCU\Software\Classes\ftp /s Reg: reg query HKCU\Software\Classes\http /s Reg: reg query HKCU\Software\Classes\https /s Reg: reg query HKCU\Software\Classes\OperaStable /s Reg: reg query HKLM\SOFTWARE\Classes\.crx /s Reg: reg query HKLM\SOFTWARE\Classes\.htm /s Reg: reg query HKLM\SOFTWARE\Classes\.html /s Reg: reg query HKLM\SOFTWARE\Classes\.nex /s Reg: reg query HKLM\SOFTWARE\Classes\.shtml /s Reg: reg query HKLM\SOFTWARE\Classes\.xht /s Reg: reg query HKLM\SOFTWARE\Classes\.xhtml /s Reg: reg query HKLM\SOFTWARE\Classes\ftp /s Reg: reg query HKLM\SOFTWARE\Classes\htmlfile /s Reg: reg query HKLM\SOFTWARE\Classes\http /s Reg: reg query HKLM\SOFTWARE\Classes\https /s Reg: reg query HKLM\SOFTWARE\Classes\OperaStable /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. W zależności od wyników uzupełnię brakujące dane podając import rejestru.

Błędy: "Odmowa dostępu" GMER oraz "Error saving file" FRST = COMODO blokuje pracę narzędzi uniemożliwiając ich poprawne uruchomienie. COMODO musi zostać wyłączony na czas uruchamiania skanu. Nie, to są tylko śmieci typu adware/PUP i normalny format je oczywiście usunie. System będzie zmieniany, ale mimo to doczyść obecny XP, by dało się komfortowo przygotować do migracji. Zanim podam instrukcje doprecyzuj: Czy logi FRST na pewno pochodzą z czasu po deinstalacji? Ja nadal widzę na liście Dodaj/Usuń programy dokładnie te same pozycje, które jakoby zostały odinstalowane. Jeśli logi nie są świeże, musisz zrobić nowe raporty FRST odbijające wprowadzone zmiany, na starych nieaktualnych danych nie można pracować. Poza tym, skoro był używany AdwCleaner, to dołącz logi z folderu C:\AdwCleaner.

Na temat Komputer Świat i podobnych: KLIK. Obecnie pobieranie z portali nie jest bezpieczne. Szukanie FRST nic nie wnosi do sprawy - ten drugi log pokazujący tylko wyniki z lokalnego cache HTML5 już nieaktualny, gdyż nastąpiła reinstalacja przeglądarki. Skoro przeinstalowanie Google Chrome pomogło, to na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

W innym temacie sprawdziłam już log z Process Monitor i nic z niego nie wynika - brak jawnego modułu czy innego widocznego obcego elementu. Mnie się wydaje, że adware podmienia któryś z globalnych plików Chrome (problem się przenosi na nowe profile, ale pomaga reinstalacja przeglądarki). Problem występuje tylko w Chrome, w innych przeglądarkach nie. Nie mam instalatora tego dziadostwa, by to sprawdzić.

Podaj link skąd był pobierany ten "downloader youtube". Posiadanie instalatora adware ułatwiłoby mi zadanie. W logu Process Monitor żadnych wyraźnych informacji. Nie wiem jaką metodą adware się ładuje, skoro już brak procesów Positive Finds, ale objawy sugerują injekcję skryptu / podmianę któregoś manifestu Chrome. 1. Dodaj jeszcze szukanie na frazy tytułowe: ----> Uruchom FRST i w polu Search wklej: positivefinds;positive finds Klik w Search Registry i dostarcz wynikowy log. ----> Uruchom FRST i w polu Search wklej: *positive* Klik w Search Files i dostarcz wynikowy log. 2. W związku z faktem, że problem występuje także na nowym profilu Chrome, do wdrożenia całkowita reinstalacja przeglądarki: Wyeksportuj tylko i wyłącznie zakładki. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję: KLIK. Zaimportuj zakładki, nie instaluj żadnych rozszerzeń. Podaj czy problemy nadal występują. Również potwierdź, że problem nie występuje na Internet Explorer.

Nic z tego nie wynika, tylko tyle widać, że w Chrome "Local Store" przekierowanie gromadzi dane, ale to jest tylko cache. 1. Nagraj log czasu rzeczywistego co się dzieje podczas aktywności przeglądarki. Zamknij przeglądarkę Google Chrome. Uruchom Process Monitor. Następnie uruchom Google Chrome i otwórz stronę wyświetlającą reklamy, poczekaj aż się wyświetlą wszystkie szkodliwe elementy. Na koniec zatrzymaj nagrywanie w Process Monitor ikonką lupki na pasku narzędzi i zapisz log PML. Plik ten spakuj do ZIP, shostuj gdzieś i podaj do tego link. 2. Sprawdź czy problem występuje na nowym profilu Google Chrome: Menu ustawienia > Ustawienia > Osoby > Dodaj osobę > uruchom ten profil (po uprzednim przeładowaniu przeglądarki Google Chrome).

1. Uruchom AdwCleaner ponownie i wybierz opcje Szukaj + Usuń. Następnie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\1\Downloads\rlq6327p.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

To już drugi temat w którym jest ten sam problem i jeszcze nie zdiagnozowałam w czym problem. Adware odinstalowane, w logu w konfiguracji przeglądarki Google Chrome nie widać nic podejrzanego. Sprawdź czy problem występuje na nowym profilu Google Chrome: Menu ustawienia > Ustawienia > Osoby > Dodaj osobę > uruchom ten profil (po uprzednim przeładowaniu przeglądarki Google Chrome)

To jakaś nowa forma adware, nie wiem w jaki sposób się ładuje w Chrome, pomimo deinstalacji. "Niestety" wszystko wygląda w porządku na obrazkach. Pokaż mi jeszcze: 1. Zrzut ekranu z Menu ustawień > Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > całe okno. 2. Dokładny spis wszystkich komponentów Chrome. Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\Google Folder: C:\ProgramData\Google Folder: C:\Users\agata_000\AppData\Local\Google Reg: reg query HKCU\Software\Google /s Reg: reg query HKLM\SOFTWARE\Google /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynukowy fixlog.txt. 3. Uruchom także Junkware Removal Tool i podaj log wynikowy.

Wszystko zrobione. Teraz poprawki: 1. Towarzystwem Safari był program Apple Software Update i nadal go widać. Odinstaluj go. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CinPl2.3c DeleteKey: HKU\S-1-5-21-2479230823-2040690117-1165275600-1002\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} DeleteKey: HKU\S-1-5-21-2479230823-2040690117-1165275600-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] C:\Program Files\McAfeeEx C:\Program Files\PCDApp C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Lavalys C:\Program Files (x86)\Lexmark Toolbar C:\Program Files (x86)\NortonInstaller C:\Program Files (x86)\Opera C:\Program Files (x86)\RegClean Pro C:\Program Files (x86)\Systweak Support Dock C:\Program Files (x86)\Temp C:\Program Files (x86)\VideoLAN C:\Program Files (x86)\WildTangent Games C:\Program Files (x86)\Winamp C:\Program Files (x86)\Common Files\mcafee C:\Program Files (x86)\Common Files\Symantec Shared C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\AVG C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IM C:\ProgramData\IncrediMail C:\ProgramData\Internet Content Filter C:\ProgramData\iolo C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\PriceMeterLiveUpdate C:\ProgramData\RadiantViewer C:\ProgramData\Roaming C:\ProgramData\Sun C:\ProgramData\WildTangent C:\Users\Ewa\AppData\Local\cache C:\Users\Ewa\AppData\Local\Comodo C:\Users\Ewa\AppData\Local\GG C:\Users\Ewa\AppData\Local\IM C:\Users\Ewa\AppData\Local\Installer C:\Users\Ewa\AppData\Local\Opera Software C:\Users\Ewa\AppData\Local\RadiantViewer C:\Users\Ewa\AppData\Local\Wild Tangent C:\Users\Ewa\AppData\Local\WorldofTanks C:\Users\Ewa\AppData\Local\_ C:\Users\Ewa\AppData\LocalLow\Goobzo C:\Users\Ewa\AppData\LocalLow\smileyswelove C:\Users\Ewa\AppData\LocalLow\Sun C:\Users\Ewa\AppData\LocalLow\trustedshopper C:\Users\Ewa\AppData\Roaming\8floor C:\Users\Ewa\AppData\Roaming\AVG C:\Users\Ewa\AppData\Roaming\eCyber C:\Users\Ewa\AppData\Roaming\DAEMON Tools Lite C:\Users\Ewa\AppData\Roaming\Elex-tech C:\Users\Ewa\AppData\Roaming\GG C:\Users\Ewa\AppData\Roaming\iolo C:\Users\Ewa\AppData\Roaming\Opera Software C:\Users\Ewa\AppData\Roaming\Oracle C:\Users\Ewa\AppData\Roaming\QuickScan C:\Users\Ewa\AppData\Roaming\smileyswelove C:\Users\Ewa\AppData\Roaming\trustedshopper C:\Users\Ewa\AppData\Roaming\WildTangent C:\Users\Ewa\AppData\Roaming\WorldofTanks C:\Users\Ewa\Downloads\yet_another_cleaner_gam_setup_11656.exe C:\WINDOWS\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynukowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Wszystko zrobione. Kolejne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres isearch.omiga-plus.com 2. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\OpenOffice.org 2.4 C:\Program Files (x86)\SqueakyChocolate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 C:\Users\1\AppData\Roaming\OpenOffice.org2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

joteS, nie ma widocznych obiektów adware w przeglądarce Google Chrome, ale definitywnie adware się kręciło na terenie, gdyż są polityki blokujące jakieś funkcje Google Chrome. Na razie do usunięcia będą te polityki Google oraz puste wpisy. Do przeprowadzenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-1724923808-888998429-4109841444-1001 -> {9CCD73BD-36BB-49C0-862D-328234F47311} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1724923808-888998429-4109841444-1001\...\Run: [] => [X] HKU\S-1-5-21-1724923808-888998429-4109841444-1001\...\RunOnce: [Adobe Speed Launcher] => 1423766351 CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1724923808-888998429-4109841444-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {5193FCF5-9D70-4C3A-860D-0108652B8263} - System32\Tasks\{B55D21D3-77E5-4D5B-8E2C-FE9D417CDA30} => H:\AutoCAD.2010.x64.PL\AutoCad_2010_Crack\Crack\x86\xf-a2010.exe Task: {EA622C4B-ED77-4B84-88E2-7274AB78D701} - System32\Tasks\{D86A9DB9-8B9C-47C8-A3EA-740B5E56EE1C} => H:\AutoCAD.2010.x64.PL\AutoCad_2010_Crack\Crack\x86\xf-a2010.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Dodatkowo zrób zrzut ekranu z tego okna Google Chrome, tak by było widać dobrze wszystkie rozszerzenia: Ustawienia > karta Rozszerzenia > zaznacz Tryb programisty.

Zapomniałam podać jeszcze do deinstalacji ten trzeci, którego nie widziałeś. Uruchom ponownie Zoek i wklej w oknie: AutoUpdate;u Klik w Run Script. Przedstaw nowy wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Myślę, że możemy już kończyć, ale sugeruję jednak przeskanować wszystkie dyski jeszcze raz jakimś antywirusem.

Podałam poprawny link do do serwera Microsoftu. Jeśli kliknięcie go prowokuje pobranie czegoś innego, to prawdopodobnie adware obecne w systemie przekierowuje linki. YAC (Yet Another Cleaner) oczywiście do usunięcia / deinstalacji i leć dalej z instrukcjami.

Nie wiem dlaczego jest problem z przeklejaniem. To nowe podejście również ma babole i kilka wpisów się nie przetworzyło. Poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej: Task: {E1CE4C8C-D2A8-4848-AF9F-8ECB1A4EF43F} - System32\Tasks\{9823F287-BD34-40DB-A9A5-3230637A2D18} => pcalua.exe -a "C:\Program Files (x86)\YooutubeAdBlocke\Ueeg3E45njoPSX.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" C:\ProgramData\Malwarebytes C:\Users\zawias\AppData\Local\Adobe C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.