picasso

Makinero To nie ten Kosz, to naprawa wirtualnego folderu Kosza, a nie folderu faktycznego Kosza na dysku. Na dodatek tu nie chodzi o Kosz na dysku C (C:\$RECYCLE.BIN) tylko na D (D:\$RECYCLE.BIN), które jest niedostępną partycją: + Oniryczny vs. ==================== Drives ================================ Drive c: (Windows7) (Fixed) (Total:150.63 GB) (Free:71.5 GB) NTFS Drive d: () (Fixed) (Total:314.13 GB) (Free:310.23 GB) NTFS Drive i: (konstruktorzy) (Network) (Total:390.62 GB) (Free:68.64 GB) NTFS Drive j: () (Network) (Total:149.9 GB) (Free:101.9 GB) NTFS Drive k: (biuro) (Network) (Total:488.28 GB) (Free:17.25 GB) NTFS Drive m: () (Network) (Total:930.9 GB) (Free:314.61 GB) Drive n: (normy) (Network) (Total:24.41 GB) (Free:20.66 GB) NTFS Drive o: (dokumentacje) (Network) (Total:488.28 GB) (Free:86.07 GB) NTFS Drive p: (prezentacje) (Network) (Total:97.66 GB) (Free:19.93 GB) NTFS Drive r: (wlodek) (Network) (Total:781.25 GB) (Free:124.67 GB) NTFS Drive t: (firmware) (Network) (Total:48.83 GB) (Free:25.59 GB) NTFS Drive u: (radio) (Network) (Total:195.31 GB) (Free:47.66 GB) NTFS Drive x: (rob) (Network) (Total:488.28 GB) (Free:315.79 GB) NTFS Drive y: (rv-projekty) (Network) (Total:1757.81 GB) (Free:375.67 GB) NTFS Drive z: (zdjecia) (Network) (Total:781.25 GB) (Free:159.01 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 465.8 GB) (Disk ID: D49D271F) Partition 1: (Active) - (Size=1 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=150.6 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=314.1 GB) - (Type=OF Extended) Jest tu tylko jeden dysk fizyczny. Jeśli proste przyznanie uprawnień dla root partycji D nie działa (czy próbowałeś tego?), to: - Wykonaj chkdsk D: /f /r dla tej partycji - Dostarcz dane pod kątem diagnostyki sprzętowej dysku: KLIK. Taka utrata uprawnień może być tylko skutkiem usterki na innym poziomie.

Czy są jeszcze jakieś problemy w systemie? Na koniec: 1. Skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

przemo22 Nie. System jest niedostępny, to log FRST ze środowiska zewnętrznego RE. W tym środowisku powstaje tylko i wyłącznie jeden log. georgegw Log FRST umieszczam jako załącznik forum. Ten log się nie nadaje do analizy. SFC uruchomione z poziomu zewnętrznego środowiska w ogóle nie nagrywa do CBS.LOG, pomimo że komunikat w oknie o tym mówi. Czy log FRST powstał już po skanie SFC? W raporcie FRST nie są notowane żadne naruszenia tej sfery: ==================== Known DLLs (Whitelisted) ================ Jedyne co widać w skanie FRST, to że była odświeżana określona grupa plików Windows: ==================== One Month Modified Files and Folders ======= 2015-02-08 01:26 - 2014-10-05 18:21 - 00180224 _____ (Microsoft Corporation) C:\Windows\SysWOW64\shdocvw.dll 2015-02-08 01:25 - 2014-11-12 00:41 - 00002048 _____ (Microsoft Corporation) C:\Windows\SysWOW64\msxml3r.dll 2015-02-08 01:24 - 2010-11-20 19:24 - 00145920 _____ (Microsoft Corporation) C:\Windows\System32\IPHLPAPI.DLL 2015-02-08 01:24 - 2010-11-20 19:24 - 00029696 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\scfilter.sys 2015-02-08 01:24 - 2009-07-13 16:10 - 00021504 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\ws2ifsl.sys 2015-02-08 01:23 - 2009-07-13 16:08 - 00017920 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\irenum.sys 2015-02-08 01:22 - 2009-07-13 15:26 - 00055376 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\fsdepends.sys Które punkty próbowałeś? ==================== Restore Points ========================= Restore point made on: 2015-02-06 10:03:57 Restore point made on: 2015-02-06 12:18:46 Restore point made on: 2015-02-06 15:00:59 Restore point made on: 2015-02-07 15:00:24 Czy na pewno to bezpośrednie następstwo skanu? W raporcie jest też folder sugerujący uruchomienie sprawdzania struktury plików i obcinanie jakiś danych: 2015-02-07 16:31 - 2015-02-07 16:31 - 00000000 __SHD () C:\found.000

1. Tak, oczywiście EnterDigital należy odinstalować w Rozszerzeniach. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.

Logi dodane, posty dla porządku sklejam, załączniki OTL usuwam. Oczywiście odpowiadasz mi już w nowym poście. Jest tu znacznie więcej obiektów adware niż wspominasz. Metody nabycia śmieci: KLIK. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware: GoForFiles, OffersWizard Network System Driver, Rich Media View, Software Version Updater, VVaUUdix, Yandex.Traffic, youtubeadblocker. - Stare wersje i zbędniki: Acrobat.com, Adobe Reader 9, Akamai NetSession Interface, AVG 2012, AVG Web TuneUp, EXPERTool 7.6, Java 7 Update 60. Jeśli czegoś nie będzie widać lub zwróci błąd, nie szkodzi, kontynuuj. Na razie nic nie instaluj, najnowszą wersję antywirusa wstawisz na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-16] (Fuyu LIMITED) [File not signed] S2 NetHttpService; C:\Windows\SysWOW64\nethtsrv.exe [X] S2 ServiceUpdater; C:\Windows\SysWOW64\netupdsrv.exe [X] S2 TBPanel; No ImagePath S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S1 iSafeNetFilter; \??\C:\Program Files (x86)\iSafe\iSafeNetFilter.sys [X] S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X] Task: {1907D87C-BC71-4D1E-B4ED-6BF830D08B16} - System32\Tasks\{BDC2D8D5-810C-4A6D-A1EE-6EE6DADD6AE1} => E:\GTAIV_Patch_V2.exe Task: {497C164B-121B-43F0-98BB-C0E4D95C0EBB} - System32\Tasks\{C8626B99-FC13-4F31-92F4-A57D7AE241C9} => pcalua.exe -a D:\Programy\mp3DC220_www.INSTALKI.pl.exe -d D:\Programy Task: {4D00F012-78DA-4B49-A58F-7F0D4FAF0A8F} - System32\Tasks\AmiUpdXp => C:\Users\Tomek\AppData\Local\7310\a15287.exe Task: {7433A507-37AD-44D0-B78A-3781A8FC4FD5} - System32\Tasks\{AF4A419C-F637-4CE8-9F58-F06E8BA3126B} => pcalua.exe -a "E:\Instal\GTA 4 EfLC\gta4_eflc_spolszczenie(www.ironsquad.pl).exe" -d "E:\Instal\GTA 4 EfLC" Task: {F24C54B6-8057-4945-9213-24E1420B8AD9} - System32\Tasks\{DC55E531-AC04-4C80-AE39-D83A8BD1AE7C} => pcalua.exe -a C:\Users\Tomek\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=exp Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\Tomek\AppData\Local\7310\a15287.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [ASRockOCTuner] => [X] HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [zASRockInstantBoot] => [X] HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [RGSC] => E:\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-3233527848-828038961-4074897931-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Tomek\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 HKU\S-1-5-21-3233527848-828038961-4074897931-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1418761778&from=exp&uid=WDCXWD7501AALS-00J7B1_WD-WMATV166337663376&q={searchTerms} SearchScopes: HKU\S-1-5-21-3233527848-828038961-4074897931-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={9D5F4F82-8B23-42B8-ACE6-61E59C3AD5E8}&mid=70881a8c5dfc47d39fe86d16b234493f-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-06 11:58:11&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: youtubeadblocker -> {52a5d084-65f1-4902-9ae8-5fd4646bb132} -> C:\Program Files (x86)\youtubeadblocker\ul50tWOZZxYWeM.x64.dll () BHO: VVaUUdix -> {915b1d5f-504a-4856-99b6-40a0d063bc3e} -> C:\Program Files (x86)\VVaUUdix\QDLuwXOmL95Dnz.x64.dll () BHO-x32: Media Buzz -> {06fa1323-e27c-46c2-9b4e-c1f4e035242d} -> C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2767\ie\MediaBuzzV1mode2767.dll ()\ BHO-x32: Rich Media View -> {bf22bdc1-e4dc-47d4-8159-dd7bb6d11d5c} -> C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release881\ie\RichMediaViewV1release881.dll () FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [{1E73965B-8B48-48be-9C8D-68B920ABC1C4}] - C:\Program Files (x86)\AVG\AVG2012\Firefox4 FF HKLM-x32\...\Firefox\Extensions: [{F53C93F1-07D5-430c-86D4-C9531B27DFAF}] - C:\Program Files (x86)\AVG\AVG2012\Firefox\DoNotTrack FF HKLM-x32\...\Firefox\Extensions: [ext@MediaBuzzV1mode2767.net] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode2767\ff FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release881.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release881\ff FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\nnxc2hsn.default-1413221507592\extensions\faststartff@gmail.com C:\Program Files (x86)\Google C:\Program Files (x86)\MediaBuzzV1 C:\Program Files (x86)\RichMediaViewV1 C:\Program Files (x86)\STab C:\Program Files (x86)\VVaUUdix C:\Program Files (x86)\Yandex.Traffic C:\Program Files (x86)\youtubeadblocker C:\ProgramData\{c457b742-fa38-e47d-c457-7b742fa3dd0b} C:\ProgramData\7791935601182018279 C:\ProgramData\APN C:\ProgramData\Google C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\GoForFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoMapa C:\Users\Tomek\AppData\Local\TempjP1704.html C:\Users\Tomek\AppData\Local\TempXy1704.html C:\Users\Tomek\AppData\Local\user_data.ini C:\Users\Tomek\AppData\Local\7310 C:\Users\Tomek\AppData\Local\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Battlefield Play4Free trzeba będzie przeinstalować. 4. Napraw niepoprawnie wyczyszczony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nie ma żadnych oznak infekcji wirusów czy trojanów mogących "spowalniać komputer". Jeśli system wolno działa, przyczyna jest inna, np. antywirus ESET jest tu mocno podejrzany, działa też w tle zintegrowany Windows Defender (przy zewnętrznych rozwiązaniach powinien zostać wyłączony). W Dzienniku zdarzeń są też błędy związane z .NET Framework oraz sugerujące potrzebę aktualizacji sterowników sprzętowych i/lub BIOS: Do czyszczenia są tylko odpadki adware oraz puste wpisy (w tym po infekcji VBKlip/Banatrix), ale to nie ma żadnego związku ze spowolnieniem, nie ten poziom modyfikacji. Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-200585039-1766280871-1148817938-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Kacper\AppData\Local\Temp\1B8f64d\temp\Eset Nod32 Keygen.exe No File Task: {7B208C9C-4AB4-457C-B671-C5FFD6732E53} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} HKU\S-1-5-21-200585039-1766280871-1148817938-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN HKU\S-1-5-21-200585039-1766280871-1148817938-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} SearchScopes: HKU\S-1-5-21-200585039-1766280871-1148817938-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1420378772&from=wpc&uid=ST340014A_5JV0KKEN&q={searchTerms} S3 athur; system32\DRIVERS\athur.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\Program Files\Mozilla Firefox C:\ProgramData\.windows.sys C:\ProgramData\pcondnjfghffncdllpenghlcceoflpab C:\Users\Kacper\AppData\Local\Chromium C:\Users\Kacper\AppData\Local\CrashRpt C:\Users\Kacper\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kacper\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Kacper\AppData\Roaming\SoftwareUpdater Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: - Ustawienia > karta Rozszerzenia > sprawdź czy nie ma jakiegoś podejrzanego rozszerzenia (na dysku jest ślad takowego: C:\ProgramData\pcondnjfghffncdllpenghlcceoflpab), a znalezione odinstaluj. - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszsrzenia zostaną wyłączone (ponownie włącz ręcznie). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przeniosłam do właściwego działu (diagnostyki infekcji). Uwaga na początek na temat pobranych: - HijackThis: ten archaiczny program nie nadaje się w ogóle do analizy systemu 64-bit, jest 32-bitowym narzędziem bez dostosowań pod kątem systemów 64-bit i pokazuje głupoty (dużo fałszywych "file is missing" z powodu niemożności odczytania natywnie 64-bitowej części). Do lamusa, bezużyteczny na systemach 64-bit. - Programy były pobierane z serwisu pośredniego Instalki.pl, a nie ze stron domowych. Drobne poprawki do wykonania pod kątem pustych wpisów: 1. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {1EEC8AC5-E315-49A2-842F-219BD0B6D65E} - System32\Tasks\{6A50B664-7AE6-4CE1-8471-5C56785339B9} => pcalua.exe -a "C:\Program Files (x86)\SubEdit-Player\unins000.exe" -d "C:\Program Files (x86)\SubEdit-Player"\ Task: {737E9CB9-05BD-4F27-8723-975BFFC38AC2} - System32\Tasks\{20BE17C8-CE32-4D81-8E52-766AE775EABA} => pcalua.exe -a C:\Sterowniki\DW1703_W7_A00_Setup-W1GV9_ZPE.exe -d C:\Sterowniki Task: {841714DD-F8FB-4D8A-9BDE-28D68623AAFD} - System32\Tasks\e-pity2012_styczen => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {9D69B992-85E2-48F6-9161-CBDAFEBBF507} - System32\Tasks\{CA6F46ED-6323-4807-8A1B-542314A52DD0} => pcalua.exe -a C:\Users\Bartek\AppData\Local\Temp\Temp1_fm2008_802_boxed-pc.zip\fm2008_802_boxed-pc.exe Task: {B931DC99-0C48-4EF6-B992-EC45947A8FF8} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files (x86)\e-file\e-pity2012\signxml.exe Task: {D7C93204-8425-49F1-B5C9-FC836AFB6D91} - System32\Tasks\{AD523C49-BA3D-41A7-A93C-59CB885A2F0B} => pcalua.exe -a C:\Sterowniki\CONEXANT_D400-USB-MODEM_RY5VP_A02_SETUP_ZPE.exe -d C:\Sterowniki C:\Users\Bartek\Downloads\*(*)-dp*.exe C:\Users\Bartek\Downloads\*INSTALKI.pl.exe RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Na wszelki wypadek zrób nowy log FRST (zaznacz pole Addition), by sprawdzić czy na pewno zadanie zostało skasowane na poziomie rejestru.

To już wszystko. Temat rozwiązany. Zamykam.

Należy doczyścić system z resztek po infekcji i innych drobnostek (szczątki po usuniętych rogramach). 1. Tapetę należy ręcznie sobie ustawić w opcjach, wybierając dowolny niezaszyfrowany plik. 2. Otwórz Notatnik i wklej w nim: S3 catchme; \??\C:\Users\Serge_2\AppData\Local\Temp\catchme.sys [X] Task: {6C460D55-C1F3-4D04-A50B-9BBF50B9A558} - System32\Tasks\avastBCLRestartS-1-5-21-929553786-925988434-3115227362-1002 => Chrome.exe CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - No Path CHR HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-929553786-925988434-3115227362-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141212 HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-929553786-925988434-3115227362-1002\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141212 DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.8.0/jinstall-1_8_0_25-windows-i586.cab C:\Program Files\MyPC Backup C:\ProgramData\jcmvxcc.html C:\ProgramData\LUUnInstall.LiveUpdate C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer GameZone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\Users\Serge_2\AppData\Roaming\Dropbox C:\Users\Serge_2\AppData\Roaming\TeamViewer C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\Qoobox CMD: for /d %f in (C:\ProgramData\Microsoft\Windows\GameExplorer\{*}) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dołącz ten plik. 3. Podaj pełną listę zaszyfrowanych plików z dysku C. Uruchom FRST ponownie, w polu Search wklej: *vzrufdd* Klik w Search Files i dostarcz wynikowy log Search.txt.

Dysk D samodzielnie opróżnisz z zakodowanych plików. Natomiast dysk C adresuję w poniższym skrypcie. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q /s C:\*scqwxua* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz przeinstaluj wtyczkę Adobe Flash Player 16 NPAPI: KLIK. I z daleka od wątpliwych skanerów z czarnej listy typu SpyHunter czy YAC (Yet Another Cleaner).

Fix FRST pomyślnie wykonany. Wyszukiwanie rejestru wskazuje, że jeszcze drobne szczątki SpeedBit się ostały. Kolejna porcja działań: 1. Do Notatnika wklej: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\EUPP\DSP" /v DoNotAskAgain /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DoNotAskAgain /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe" /f Reg: reg delete HKCU\Software\SpeedBit /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Zainstaluj najnowszą wersję Firefox. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Skoro skaner nie umie tego usunąć, spóbuj ręcznie z poziomu menedżera plików Kasperskiego (na desktopie płyty jest do niego skrót).

Wszystko zrobione. Problem SpeedBit powinien ustąpić, ale jeszcze nie skończyłyśmy i kolejne poprawki pod kątem odinstalowanych programów: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei podane poniżej obiekty szczątkowe od Nokia > Dalej. MSVC80_x64_v2 (Version: 1.0.3.0 - Nokia) Hidden MSVC80_x86_v2 (x32 Version: 1.0.3.0 - Nokia) Hidden MSVC90_x64 (Version: 1.0.1.2 - Nokia) Hidden MSVC90_x86 (x32 Version: 1.0.1.2 - Nokia) Hidden 2. Do Notatnika wklej: S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () Task: {68B86A6E-2E4E-4ED3-AFA1-96CFF6226578} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000UA => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-03-09] (Facebook Inc.) Task: {96EBAD8E-99CB-44B9-B1C0-47EDE12E192A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000Core => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-03-09] (Facebook Inc.) Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000Core.job => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2913347843-1076875873-1493724754-1000UA.job => C:\Users\Emil\AppData\Local\Facebook\Update\FacebookUpdate.exe ShellIconOverlayIdentifiers: [iDM Shell Extension] -> {CDC95B92-E27C-4745-A8C5-64A52A78855D} => C:\Users\Emil\AppData\Local\Temp\HZ$D.981.192\HZ$D.981.193\crack\IDMShellExt64.dll No File C:\Program Files (x86)\NAPI-PROJEKT C:\Program Files (x86)\Origin Games C:\Program Files (x86)\Super Mario Bros C:\Program Files (x86)\Winamp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\NokiaInstallerCache C:\ProgramData\PC Suite C:\ProgramData\Sun C:\Users\Emil\AppData\Local\Facebook C:\Users\Emil\AppData\Local\Nokia C:\Users\Emil\AppData\Roaming\Origin C:\Users\Emil\AppData\Roaming\TS3Client C:\Windows\SysWow64\Drivers\StarOpen.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt - pokaż go. 3. Uruchom FRST, w polu Search wklej: speedbit Klik w Search Registry i dostarcz wynikowy log.

W Harmonogramie zadań nadal się uruchamia komponent SpeedBit, który zapewne przywraca ustawienia: Task: {ADECA8F9-F60C-41E3-AD4B-DDA9E7A75A85} - System32\Tasks\SBWUpdateTask_Logon_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Task: {DFC01E5E-FFCF-4CC9-8CCC-14AA6AD6A960} - System32\Tasks\SBWUpdateTask_Time_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Ale jest tu też dodatkowa nieścisłość: Co rozumiesz pod pojęciem "resetowałam Firefoxa"? W pliku prefs.js mnóstwo preferencji / przekierować Speedbit, które schodzą podczas resetu Firefox (oczywiście przy założeniu, że SpeedBit nie jest procesach). W raporcie nie ma żadnych oznak, że Firefox został zresetowany - wskazuje na to konwencja nazwy profilu Firefox. Firefox widzę, że odinstalowałaś, tylko przy deinstalacji nie wskazałaś, by usuwać zanieczyszczony profil i obecnie nowa instalacja Firefox będzie znów zabrudzona. Trzeba dodatkowo całkowicie usunąć profil Firefox przed nową instalacją. Do przeprowadzenia następujące działania: 1. Odinstaluj przez Panel sterowania stare wersje: Adobe Shockwave Player 12.0, Java 7 Update 25 (64-bit), Java 7 Update 51, Java 8 Update 25, Java™ 6 Update 17. 2. FRST uruchamia się z Tymczasowym plików Internetowych (które zostaną usunięte): C:\Users\Emil\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MZ72ZM5O Proszę pobierz go ponownie i zapisz na Pulpicie. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {002F8F28-6B1F-4C57-8244-0D2F4D647897} - System32\Tasks\{115FCFCD-7B6F-4A60-903F-B517B82749BD} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2SP6.exe Task: {0DAEA0F6-E2A0-4E0E-91D3-8BD0AFFD2229} - System32\Tasks\Driver Booster SkipUAC (Emil) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {1115E172-B12B-47CB-B23C-D2A349726E99} - System32\Tasks\{09BB4EF8-FC8F-44A1-87F4-CC821708B577} => C:\Program Files (x86)\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {1F428DAF-36C7-41D9-A6CB-4C592F766918} - System32\Tasks\{90634328-3BB1-4CE9-BCD1-83CCC1ED3F08} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2Launcher.exe Task: {268FF348-529F-4B8D-95FE-5B6FA7EFFBA2} - System32\Tasks\{8AF8E1BE-398D-4528-80FE-48F5155E8911} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {29F69A50-76BF-4B9D-A3FA-F4F7D99E38EA} - System32\Tasks\{26C676D0-379B-46A6-9C3C-C3784E6252E2} => pcalua.exe -a C:\Users\Emil\Downloads\SantaSetup(dobreprogramy.pl).exe -d C:\Users\Emil\Desktop Task: {2BBA6055-1E32-4715-8982-4E391684CF33} - System32\Tasks\{45219DBC-31B4-4787-8A03-CD953964473F} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {333690EF-1DAC-496D-9571-89F828E83A8D} - System32\Tasks\{768C7AAF-D78C-4C7A-AD23-429ACF69E65D} => pcalua.exe -a "C:\Users\Emil\Super Mario Bros PC Installer.exe" -d C:\Users\Emil Task: {41F37969-82AB-4D58-B3C8-452362221E81} - System32\Tasks\{51942E76-5A64-4C81-8211-F37E1564F694} => pcalua.exe -a C:\Downloads\Tripex3.exe -d C:\Downloads Task: {523040CC-167C-4128-9363-EFF71953059D} - System32\Tasks\{19A08215-2A77-431A-87CA-CA118BA3093B} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2\eauninstall.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2" Task: {545DF0B2-6A46-4FBF-9A12-B50E13FE8F13} - System32\Tasks\{BE96B593-73C1-462D-A6E6-44BCBD62D942} => C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\Sims2EP2.exe Task: {579A8865-445E-4F83-A349-1D7DFB1FBA65} - System32\Tasks\{45945960-DFB6-4E6A-95F4-FC99ADA44A5F} => C:\Program Files (x86)\Ares\Ares.exe Task: {58DEBA88-D19B-4BA2-BFDC-0682D91BB385} - System32\Tasks\{411D9465-C8BA-420B-B426-88DA3DCE0BD2} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 University\TSBin\TS2UPD.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 University\TSBin" Task: {671D0EB8-2EA0-4A3B-B1D5-3607381B40B5} - System32\Tasks\{F43C5ED9-92E7-415D-BAA6-B14D1EC97D28} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {68B78D3A-C3EC-4CC4-B989-90021A98440F} - System32\Tasks\{676CDB73-628E-44DF-B4E5-3FBBF2DE93FD} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2SP6.exe Task: {6C003686-DB50-49D3-8449-A1C4E8C9A1C9} - System32\Tasks\{7CA3EA84-B964-4AE1-8C93-F653E724462F} => H:\AutoRun.exe Task: {6E11B38C-5634-4B04-972A-1600BA41F31A} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe Task: {7EF06A6C-099C-490F-9253-34B7A3D8CD7B} - System32\Tasks\{C458054B-2E6C-4CD1-9382-F8883BC9CF7E} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {8153C4EB-993E-4676-84E6-304DAB105EA8} - System32\Tasks\{23FFFDBC-AAD4-458B-AB7A-C70231587CE3} => pcalua.exe -a D:\sims2.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {86118B8C-55BF-464B-983E-A45C00E64F12} - System32\Tasks\{6A597318-1404-4E22-930E-0594E1207F3D} => pcalua.exe -a C:\Users\Emil\Shockwave_Installer_Full.exe -d C:\Users\Emil Task: {8F692C89-ED20-4540-9597-6B1D44609D09} - System32\Tasks\{8BA87D9C-68F4-4060-BDCB-42C1063F3531} => C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\Sims2EP2.exe Task: {95FEA1D0-BFCF-4B45-96D5-22781D86EBEC} - System32\Tasks\{28B5E4F8-C94C-4B8E-B6E8-49442AA2403F} => pcalua.exe -a D:\Nokia_PC_Suite_pol_web.exe -d D:\ Task: {97922AE6-5BFD-4EAF-BB13-211FBA4B25A6} - System32\Tasks\{8E17136E-98EF-4EC1-9D66-7393C8F91B70} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\TS2UPD.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin" Task: {9ACBD98A-6140-4F11-A0D4-7B9207DC8A86} - System32\Tasks\{82AD628E-CB87-4A6A-B219-3A6504ADC7D5} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {9C0E040D-C8C3-4887-BF05-4A636FB3C89C} - System32\Tasks\{9E1EA7A7-A25A-4DFC-8F69-DABE5925BB89} => C:\Program Files (x86)\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {9E92CE60-AFF7-4A67-A3A9-7986B2AFC430} - System32\Tasks\{FF7571AA-F486-4757-B1B4-AEDE59748A00} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {A030DBFD-7EE0-4B73-ACD9-139080717132} - System32\Tasks\{C743EBCE-A852-4B18-BD9E-164D8580B1D6} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2\CSBin\PackageInstaller.exe" -d "C:\Users\Emil\Desktop\gruth Stairs by ulmille" -c "C:\Users\Emil\Desktop\gruth Stairs by ulmille\gruth_stairs2_marino-walnut_recolour_ulmille.package" Task: {A3DF5CA4-9AB4-474E-B7BD-63FE5BF9E9F3} - System32\Tasks\{8C8C8F84-8A06-4FE5-A7FD-DA57B0B7BB0F} => pcalua.exe -a H:\Sims2EP2_uninst.exe -d H:\ Task: {A84E76B2-185A-4575-98A2-D0D4B7F4765D} - System32\Tasks\{CBB77647-A7B6-4CA9-BAC5-83411A751F4C} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {ADECA8F9-F60C-41E3-AD4B-DDA9E7A75A85} - System32\Tasks\SBWUpdateTask_Logon_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Task: {B7368EFC-067D-4E3F-8071-30D6EA24E047} - System32\Tasks\{6FC7A672-FBAE-4988-8B7C-6B63863A0705} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin\eauninstall.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 Nocne życie\TSBin" Task: {B85CDBF4-1992-47A1-B3F5-7D7CAFB1A192} - System32\Tasks\{204439BB-14B5-4709-9161-5766F745D497} => C:\Program Files (x86)\EA GAMES\The Sims 2 University\Sims2EP1_loader.exe Task: {C0F0355C-527B-408D-BC80-BEC34CF2EAC5} - System32\Tasks\{CA96046C-3125-4916-8C14-FF171EABDF1D} => pcalua.exe -a H:\Setup.exe -d H:\ Task: {C6954210-4999-4C9A-8242-E9EEED2A3AA5} - System32\Tasks\{BF918AA8-EE0C-4B4A-A2DD-C7F0F62C873F} => H:\AutoRun.exe Task: {CB808AC7-74C5-4189-B5FD-F0BF155BC2C5} - System32\Tasks\{795B1B5B-B2BC-49CB-947A-E2382A8FBD6F} => pcalua.exe -a H:\Sims2EP2_uninst.exe -d H:\ Task: {D8B75DA3-11A0-4216-B2BA-85CCE5865572} - System32\Tasks\{265E76A7-F32B-4D5D-81AA-38AD46955F1E} => pcalua.exe -a "H:\Support\The Sims 2 Nightlife_uninst.exe" -d H:\Support Task: {DB29B515-7CF7-4B18-9576-CA46EE6C02A8} - System32\Tasks\{C5C26BD0-4953-444E-8150-77B3D551461A} => C:\Program Files (x86)\EA GAMES\The Sims 2 Młodzieżowy styl Akcesoria\TSBin\Sims2Launcher.exe Task: {DC563FAA-8BA9-4CE5-A6D6-44AF8DA8859F} - System32\Tasks\{7E7F1CF1-DBA6-401A-9446-34908400A0A3} => pcalua.exe -a D:\Nokia_PC_Suite_pol_web.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {DE8AB7FB-0E76-47DF-83E4-A263446DE4D5} - System32\Tasks\{903C4496-ADD5-4477-B3D3-54A1D67E5039} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\The Sims 2 Zwierzaki\TSBin\TS2UPD0.exe" -d "C:\Program Files (x86)\EA GAMES\The Sims 2 Zwierzaki\TSBin" Task: {DFC01E5E-FFCF-4CC9-8CCC-14AA6AD6A960} - System32\Tasks\SBWUpdateTask_Time_1242b301-000000000000 => C:\Program Files (x86)\Common Files\SpeedBit\SBUpdate\SBUpdate.exe [2013-07-08] (Speedbit Ltd.) Task: {F030603D-8A48-4153-9CA6-B09E67D2B317} - System32\Tasks\{11348AB6-E9DE-440F-AA8E-2F67928D1729} => H:\AutoRun.exe Task: {F4891075-69B9-48D4-BBD5-409BCBCF263E} - System32\Tasks\{35E54E69-AA63-4DBC-BA85-0BB0C20E2693} => C:\Users\Emil\Desktop\BESTplayer.exe Task: {FECE2713-29AC-480D-86E7-070D43460987} - System32\Tasks\{55935961-46CC-454D-9A6E-FC63BCBA1235} => pcalua.exe -a H:\eauninstall.exe -d H:\ HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" HKU\S-1-5-18\...\Run: [skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized HKU\S-1-5-18\...\Run: [Agent Portfela Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [Agent aplikacji Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> DefaultScope {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKLM-x32 -> {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> DefaultScope {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> {7247CE5D-9949-444F-AD28-84689DBC9E64} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=512435&p={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> {7F4EFF06-7032-458e-AE16-1C1D8255C28A} URL = http://home.speedbit.com/search.aspx?site=shdefault&pid=%s&aid=%s&shr=%d&q={searchTerms} SearchScopes: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> {B6E3EE86-D677-4EF7-8306-D22D37DE1E6C} URL = Toolbar: HKU\S-1-5-21-2913347843-1076875873-1493724754-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File S3 cleanhlp; \??\C:\Program Files (x86)\Ashampoo\Ashampoo Anti-Virus\cleanhlp64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] AV: ESET Smart Security 7.0 (Disabled - Up to date) {19259FAE-8396-A113-46DB-15B0E7DFA289} AS: ESET Smart Security 7.0 (Disabled - Up to date) {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834} FW: Zapora osobista ESET (Disabled) {211E1E8B-C9F9-A04B-6D84-BC85190CE5F2} C:\Program Files (x86)\Common Files\SpeedBit C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\ProgramData\1406037365.bdinstall.bin C:\ProgramData\1406931532.bdinstall.bin C:\ProgramData\BDLogging C:\ProgramData\IObit C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\Users\Emil\Links\GG dysk.lnk C:\Users\Emil\Favorites\GG dysk.lnk C:\Users\Emil\AppData\Local\cache C:\Users\Emil\AppData\Local\Google C:\Users\Emil\AppData\Local\Mozilla C:\Users\Emil\AppData\Roaming\Mozilla C:\Users\Emil\AppData\Roaming\temp.ini C:\Users\Emil\Downloads\SpyHunter-Installer.exe C:\Windows\SysWOW64\TeamSpeak3-Client-win32-3.0.10.1.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Przestarzały OTL nie jest tu brany pod uwagę. Dostosuj się do zasad działu i podaj obowiązkowe logi z FRST + GMER: KLIK.

Zbędne dane usuwam - "Autostart GMER" to powielenie informacji, ta część jest już w skanie FRST (sekcja Registry) i to w znacznie szerszym zakresie. Jaki powód zakładania tematu w dziale diagnostyki infekcji? Brak takich oznak, temat przenoszę do działu Windows. Z logów nic nie wynika. W Dzienniku zdarzeń jakieś niesprecyzowane błędy: Sugestie wstępne: 1. Jeśli nie używasz, pozbądź się starych zintegrowanych firmowych aplikacji MyWinLocker Suite, Norton Online Backup. To odetnie sporo procesów. 2. W Autoruns możesz wyłączyć poprzez odfajkowanie: - Karta Logon: Acer VCM, Adobe Reader Speed Launcher, IAStorIcon. - Karta Services: c2cautoupdatesvc, c2cpnrsvc, GREGService, Live Updater Service, RS_Service, WinDefend (by widzieć ten ostatni, należy włączyć pokazywanie wpisów Microsoftu). Po akcji zresetuj system. 3. Jeśli powyższe kroki nie pomogą, do sprawdzenia czy nie bruździ Avast (testowa deinstalacja). 4. Jest tu mało RAMu, co może być po prostu nie do przeskoczenia: ==================== Memory info =========================== Percentage of memory in use: 66% Total physical RAM: 1011.87 MB

Cóż, mnóstwo adware nabyte na jeden z tych sposobów: KLIK. A użycie AdwCleaner nieskuteczne, bo po formie logów na dysku widać, że próbowałeś używać jakąś archaiczną wersję (zapisuje logi wprost na C, a nie w osobnym folderze C:\AdwCleaner). AdwCleaner nigdy nie będzie skuteczny, jeśli używany w starszych wersjach, ten program należy pobierać cały czas od początku, gdyż jest zbyt często aktualizowany (czasem nawet dziennie). Na razie AdwCleaner zostaw w spokoju. Działania wstępne do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Shockwave Player 11.6, Java 7 Update 9, Java™ 6 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Caesar III.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Empire Earth.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Impressions Games.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Pharaoh.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Sierra.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra\Zeus - Pan Olimpu\Linki\Strona internetowa Zeusa.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=idgnew&from=idgnew&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1363964864 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422643946&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422643946&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3 HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422644015&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3500418AS_5VM2XLF3XXXX5VM2XLF3&ts=1422644027&type=default&q={searchTerms} BHO: FG2CatchUrl -> {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} -> d:\Programy\FlashGet universal\ComDlls\bhoCATCH.dll No File BHO: Bruowse2saavee -> {2F287E2F-FDA1-86EC-E036-015F9D67CBE1} -> No File BHO: SeAraCCh-NewTab -> {5223838A-E03C-6745-6CB4-3835F3C5CB9E} -> No File Toolbar: HKU\.DEFAULT -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\duz912c6.default-1368449410798\extensions\fftoolbar2014@etech.com CustomCLSID: HKU\S-1-5-21-1454207623-1880706861-3650100424-1001_Classes\CLSID\{cb4c77f0-ab2a-407c-93ac-963769824b18}\localserver32 -> C:\Users\Dom\AppData\Local\Temp\{b3ede298-ae75-4a1c-ab7e-1b9229b77bbe}\IDriver.NonElevated.exe No Fi (the data entry has 2 more characters). Task: {010AC60A-77E8-4BB4-9572-B12C30ABC510} - System32\Tasks\{7C963B4B-5B44-462F-A3CD-BB5A85374840} => pcalua.exe -a D:\Programy\NeroExpress\setup.exe -d D:\Programy\NeroExpress Task: {0488AA97-B653-476C-9ECE-8171942C7C03} - System32\Tasks\{BECE8C49-61F1-42A8-BFD2-119613D8ABBD} => pcalua.exe -a C:\Users\Dom\Desktop\b4p_enu_xp.exe -d C:\Users\Dom\Desktop Task: {377F66A2-FA16-46B9-A775-03745D94DABE} - System32\Tasks\RunAsStdUser => C:\Program Files\Desk 365\desk365.exe Task: {4EFFDB6B-0408-4111-B58E-4B8827DC681C} - System32\Tasks\{49864660-ABF9-42B9-8790-B7F63645CADB} => pcalua.exe -a "D:\Programy\Adobe Photoshop 7.0 PL\Photoshop\Setup.exe" -d "D:\Programy\Adobe Photoshop 7.0 PL\Photoshop" Task: {546FBA28-D3A9-497E-B8E7-CEFCA6D4887D} - System32\Tasks\{4A34E747-8DE1-4331-940C-49311204FE22} => Firefox.exe Task: {6539ED63-798B-497F-BBDF-8C94C2D93E39} - System32\Tasks\TKBXPO => C:\Users\Dom\AppData\Roaming\TKBXPO.exe Task: {874F1F82-B67D-480C-9DC0-320446BC2DED} - System32\Tasks\{FF2D7C99-FCE9-4591-828C-9E92556EE149} => pcalua.exe -a C:\Users\Dom\Desktop\LEXMARK_AAP_WIN2KXP_PCL_PL.EXE -d C:\Users\Dom\Desktop Task: {8DCD30FF-E0E7-4EB3-9C75-CA50362FD5F8} - System32\Tasks\{5A1FA46D-FDAF-48B8-ADA4-5CE404EFFFE7} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -fd:\Uninst.isu -c"d:\uninst.dll" -BFLANG=21 Task: {9584340B-1951-4BE6-B793-D6BE3F21C5C7} - System32\Tasks\FOG => C:\Users\Dom\AppData\Roaming\FOG.exe Task: {AF3251E5-D608-4D84-9B93-E090E636319E} - System32\Tasks\{A5D47190-E159-4C2E-A504-2846B29770CD} => C:\Program Files\DAEMON Tools Lite\DTLite.exe [2009-10-30] (DT Soft Ltd) Task: {AFCF1165-78B0-4223-9918-54C4BDAE3F99} - System32\Tasks\{5C48FA42-87F4-487F-8C5F-2B1E71008124} => Firefox.exe Task: {F3A9A3DC-2436-4726-A978-9AA778502786} - System32\Tasks\{AFFAB225-5820-47DE-9A2A-CEB40E83988F} => Firefox.exe Task: {FDE20C8A-A1CC-4DF4-8A0F-307706655A9C} - System32\Tasks\{6B62FFB3-2BFE-46DE-A199-1A9CC4D4F5D3} => Firefox.exe Task: C:\Windows\Tasks\FOG.job => C:\Users\Dom\AppData\Roaming\FOG.exe Task: C:\Windows\Tasks\TKBXPO.job => C:\Users\Dom\AppData\Roaming\TKBXPO.exe R1 avgtp; C:\Windows\system32\drivers\avgtpx86.sys [33112 2013-02-19] (AVG Technologies) R2 HPSLPSVC; C:\Users\Dom\AppData\Local\Temp\7zS2DB2\hpslpsvc32.dll [701288 2012-11-14] (Hewlett-Packard Co.) S2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [X] S1 pfnfd_1_10_0_8; system32\drivers\pfnfd_1_10_0_8.sys [X] S2 Update Solution Real; "C:\Program Files\Solution Real\updateSolutionReal.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] HKLM\...\Run: [sunJavaUpdateSched] => "C:\Program Files\Java\jre7\bin\jusched.exe" HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Dom\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\...\Run: [Napisy24.pl] => "C:\Program Files\Napisy24\Napisy24.exe" AutoStart HKU\S-1-5-21-1454207623-1880706861-3650100424-1001\...\MountPoints2: {e927ef9c-3f68-11e0-8faa-00241d8d1e95} - K:\autorun.exe Startup: C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OPTISetup.lnk C:\AdwCleaner*.txt C:\Program Files\globalUpdate C:\Program Files\Opera C:\Program Files\XTab C:\ProgramData\{a50d5638-14b9-31da-a50d-d563814b58e0} C:\ProgramData\4980443400007310 C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashGet C:\Users\Dom\AppData\Local\Temp*.html C:\Users\Dom\AppData\Local\Gameo C:\Users\Dom\AppData\Local\globalUpdate C:\Users\Dom\AppData\Local\Google C:\Users\Dom\AppData\Local\Opera Software C:\Users\Dom\AppData\Roaming\FOG C:\Users\Dom\AppData\Roaming\TKBXPO C:\Users\Dom\AppData\Roaming\GoldenGate C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Dom\AppData\Roaming\omiga-plus C:\Users\Dom\AppData\Roaming\Opera Software C:\Users\Dom\Documents\Optimizer Pro C:\Windows\system32\drivers\avgtpx86.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

SFC notuje usterki, nie tylko ów plik o którym mówiłam, ale i rozwalony manifest, niczego nie był w stanie naprawić: 2015-02-07 15:50:01, Info CSI 0000033a [sR] Cannot verify component files for Microsoft-Windows-packager, Version = 6.1.7601.18645, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-07 15:50:01, Info CSI 0000033c [sR] Cannot repair member file [l:14{7}]"msi.dll" of Microsoft-Windows-Installer-Engine, Version = 6.1.7601.18637, pA = PROCESSOR_ARCHITECTURE_IA32_ON_WIN64 (10), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-07 15:50:01, Info CSI 0000033f [sR] Cannot verify component files for Microsoft-Windows-packager, Version = 6.1.7601.18645, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral, manifest is damaged (TRUE) 2015-02-07 15:50:01, Info CSI 00000341 [sR] Cannot repair member file [l:14{7}]"msi.dll" of Microsoft-Windows-Installer-Engine, Version = 6.1.7601.18637, pA = PROCESSOR_ARCHITECTURE_IA32_ON_WIN64 (10), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-02-07 15:50:01, Info CSI 00000342 [sR] This component was referenced by [l:160{80}]"Package_41_for_KB3008627~31bf3856ad364e35~amd64~~6.1.1.0.3008627-118_neutral_GDR" 2015-02-07 15:50:01, Info CSI 00000345 [sR] Could not reproject corrupted file [ml:48{24},l:46{23}]"\??\C:\Windows\SysWOW64"\[l:14{7}]"msi.dll"; source file in store is also corrupted Wstępnie: 1. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, dostarcz log C:\Windows\Logs\CBS\Checksur.log (zmień rozszerzenie na *.txt, by wszedł w załącznik). 2. Następnie podaj spis wystąpień pliku msi.dll (to pod ew. podmianę ręczną). Uruchom FRST, w polu Search wklej msi.dll i klik w Search Files.

Ten "Trojan.Dropper" to właśnie obiekt Brontok, oczywiście do usunięcia. Jeśli to na pewno był skan typu pełnego w MBAM (a nie ekspresowy), to już koniec zmagań z Brontok.

W DelFix tylko usuwanie narzędzi (Remove disinfection tools), czyszczenie folderów Przywracania systemu wykonaj ręcznie zgodnie z kolejnym opisem temu przeznaczonym.

1. W preferencjach Google Chrome są po prostu odpadkowe śmieci - wg pliku "Secure Preferences" są 4 martwe rozszerzenia adware (możliwe, że widać tylko 2 lub nawet mniej). Po prostu w Rozszerzeniach odinstaluj sale-o i wszystkie inne elementy, poza poprawnym Adblock Plus i rozszerzeniami Google. 2. Uruchom Malwarebytes Anti-Malware - przy instalacji odznacz trial. Wykonaj pełny skan systemu i dostarcz wynikowy log, o ile coś zostanie znalezione, w przeciwnym wypadku jest on zbędny.

Tu dokończymy temat infekcji. W dziale Hardware założysz nowy temat dedykowany wątkom sprzętowym, by nie mieszać tematów. 1. Końcowa poprawka. Do Notatnika wklej: HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\max\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Upewnij się za pomocą pełnego skanu MBAM, że nigdzie już nie są wykrywane obiekty Brontok. 4. Na później byłaby pełna aktualizacja Windows, ale to dopiero po ocenie stanu dysku, czy w ogóle jest sens prowadzić jakiekolwiek działania.

Wszystko zrobione. Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zamień stary Adobe Reader X (10.1.3) MUI najnowszą wersją: KLIK.