picasso

Jak mówię: FRST jest bezinstalacyjny. Skoro jest problem z uruchomieniem, wejdź w Tryb awaryjny Windows i ponów próbę. I na wszelki wypadek podkreślę: mówimy o opcji Scan a nie Fix.

Verdugo, myśl logicznie. Pobierasz ponownie program i robisz skan wg wytycznych w przyklejonym.

Nie, nie jest bezpieczne wykonywać czynności związane z czułymi danymi, ani logować się - Ramnit jest zdolny wykradać hasła (poświadczenia logowania w bankach, serwisach społecznościowych, FTP, etc.) oraz robić zrzuty ekranu. Poza tym, skoro zakup dysku się odciąga, to jednak nie zwlekaj ani chwili dłużej i natychmiast zrób skan z płyty Kasperskiego (wszystkie partycje!), gdyż im dłużej działa Windows, tym większe szkody. Zapomniałam napisać: nie wolno Ci przekopiować także plików HTM / HTML - to również pliki infekowane przez Ramnit.

Jest niebezpieczeństwo, że wirus "przeskoczy" na kolejny podpięty dysk, jeśli są na nim jakiekolwiek pliki wykonywalne. Najbezpieczniej byłoby zrobić przerzut danych typu zdjęcia, gdy Windows nie jest załadowany. Tzn. wyłączasz komputer, podpinasz dyski, bootujesz płytę Kaspersky Rescue Disk (nie uruchamiasz zainfekowanego Windows!), za pomocą menedżera plików Kasperskiego kopiujesz dane na te dyski, wyłączasz kompa i odpinasz dyski. Oczywiście nie zapomnij sformatować pendrive...

Czy chodzi o to, że nie występuje już autologowanie do tej konkretnej strony, czy o to że kompletnie brak pasującego rekordu (czyli autopodpowiedzi, wypełnienia pól logowania)? - Otwórz plik logins.json (chodzi o ten w kwarantannie FRST) w Notatniku i sprawdź czy w nim w ogóle figuruje adres strony dla której jakoby login był zapisany. - Spróbuj też przekopiować jeszcze plik certyfikatów, czyli cert8.db. - Poza tym, nie wiadomo z jakiej wersji pochodzi poprzedni profil Firefox - mógł być ze starej (poniżej Firefox 32), a w starych wersjach był inny plik związany z hasłami, czyli signons.sqlite. Plik ten został zastąpiony przez logins.json.

W raportach nie widać już żadnych oznak opisywanych adware. Do wykonania będą tylko drobne kosmetyczne zadania, ale to potem. W jaki sposób zmienił się wygląd Facebooka? Opisz / dostarcz zrzut ekranu. Nic tu nie wskazuje na ingerencje infekcji. Opisywane problemy wyglądają na pochodną innego czynnika. Jeśli problem tyczy tylko przeglądarki Google Chrome a nie Firefox i IE, to na początek zrób po prostu reset przeglądarki: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Jeśli chodzi o BSOD, skopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP i umieść na jakimś serwisie hostingowym.

Na początek proszę zaloguj się na to nowe konto Sol (a nie zdefektowany Solskier) i wykonaj zadane punkty 1+2 w moim poście powyżej. Ma to na celu redukcję ofensywnego oprogramowania, które może przeszkodzić dalszym operacjom. Po wykonaniu operacji podam co dalej i jak przekierować konto Solskier na poprzedni katalog.

Wszystko nadal aktualne i kontynuuj wg planu. A ów "MediaPlayerV1alpha" (adware) jest zaplanowany do usunięcia w skrypcie FRST.

Zadanie wykonane do końca. Zostały więc do podmiany jeszcze dwa wystąpienia TSWbPrxy.exe. Nadal szukam tej szczególnej wersji 7.2.7601.16415 komponentu. Jeśli znajdę, dam znać.

Tym razem log z FRST robiłeś mając zalogowane równocześnie oba konta Sol i Solskier. Chodziło o załadowanie tylko jednego z nich. Temat przenoszę do działu Windows pod bardziej dopasowaną nazwą. Nie ma tu żadnych oznak infekcji tego typu, są tylko drobne instalacje adware, ale to nie jest powiązane. Stosowanie ComboFix było zupełnie niezasadne, nie robiłeś tego nawet wg wytycznych bezpieczeństwa (czynne obiekty które mogły spowodować awarię). Natomiast to co jest tu problemem to: 1. Duża ilość równocześnie zainstalowanych antywirusów. Katastrofa! Archaiczny AVG, świeżo doinstalowany Avast pogrążający sprawę jeszcze bardziej, szczątki niepoprawnie odinstalowanego Symantec, stary Sandboxie. Taka kondensacja jest prawdopodobną przyczyną obniżenia wydajności i problemów z połączeniem. Co więcej start systemu mógł zostać zablokowany. 2. Konto Solskier utraciło dostęp i obecnie loguje Cię poprzez profil tymczasowy. Jest tu więc problem tego rodzaju: KLIK. Running from C:\Windows\System32\config\systemprofile\Downloads Loaded Profiles: Solskier & Sol (Available profiles: Solskier & Sol & Guest) ========================= Accounts: ========================== Administrator (S-1-5-21-682935528-494026121-326331953-500 - Administrator - Disabled) Guest (S-1-5-21-682935528-494026121-326331953-501 - Limited - Enabled) => C:\Users\Guest HomeGroupUser$ (S-1-5-21-682935528-494026121-326331953-1005 - Limited - Enabled) Sol (S-1-5-21-682935528-494026121-326331953-1006 - Administrator - Enabled) => C:\Users\Sol.Solskier-PC Solskier (S-1-5-21-682935528-494026121-326331953-1001 - Administrator - Enabled) => C:\Users\TEMP Application errors: ================== Error: (02/03/2015 01:38:57 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Solskier-PC) Description: Windows cannot load the user's profile but has logged you on with the default profile for the system. DETAIL - Access is denied. Objaśnij które konto jest zasadniczym: Sol, czy Solskier. Na razie pozbądź się procesów i dziurawych niebezpiecznych wersji. Mówiłeś, że jest blokowane instalowanie/usuwanie programów, ale nie wyjaśniłeś w jaki sposób. Musisz być zalogowany na koncie administracyjnym do poniższych czynności, czyli w tym przypadku Sol (nie wygląda na konto naruszone), a nie logowany tymczasowo Solskier, czy limitowany Gość na którym nic się nie da zrobić. 1. Przez Panel sterowania odinstaluj: - Stare wersje i nadwyżkę programów zabezpieczających: Adobe Reader 8.1.2, AVG 9.0, AVG Security Toolbar, Gadu-Gadu 10, Gadu-Gadu 7.7, Java 7 Update 21, Java™ 6 Update 20, Sandboxie 3.72 (32-bit). - Pozycje adware: Ask Toolbar, Browser Manager, Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1, Vuze_Remote Toolbar, YTD Video Downloader 4.1. Jeśli coś będzie niewidoczne lub zgłosi błąd, omiń i kontynuuj dalej. 2. Przejdź w Tryb awaryjny Windows i zastosuj firmowe usuwacze: AVG Remover, Norton Removal Tool. To wstęp przed przekierowaniem konta na poprzedni katalog. Jak wspominam, muszę wiedzieć które konto jest dla Ciebie zasadniczym.

Kaspersky wyczyścił pendrive. Możesz jeszcze go dodatkowo zimmunizować za pomocą Panda i opcji USB Vaccination. To jest jednak ograniczona metoda i nie wyklucza tworzenia na pendrive obiektów Brontok. Niestety trzeba ubić źródło, a źródłem zdaje się być komputer opornego brata.

Ten plik plik.bat do wyrzucenia, to nie jest poprawna metoda startu powłoki i problem nie leży w tym miejscu. Proponuję więc odinstalować Avast - jest to możliwe z poziomu Trybu awaryjnego.

Operacja ukończona pomyślnie. Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zamień starą wersję Adobe Flash Player 11 ActiveX najnowszą: KLIK.

MBAM jest jak najbardziej OK, choć akurat pod zadanie tutaj mniej pasuje, bo nie jest programem stricte antywirusowym. Problemem nie jest tu jednak program skanujący tylko okropna infekcja grasująca w systemie. Pendrive załatwił system i to w takim stopniu, że będzie ciężko się z tego wykaraskać. Ramnit to wirus plików wykonywalnych - atakuje wszystkie pliki tego rodzaju na wszystkich dyskach. Ten niedziałający WinRAR dlatego, bo WinRAR jest już zniszczony / zawirusowany (podobnie jak inne programy) i MBAM musiał usunąć plik z wirusem. Użycie Przywracania systemu było tu niezasadne, bo przywróciłeś zawirusowane pliki, to zresztą jest zupełnie nieskuteczne i nie pomoże zlikwidować wirusa. Ta infekcja ma kierunek na kompleksowy format dysku. Jest tu sporo partycji, wszystkie są pod radarem infekcji: ==================== Drives ================================ Drive c: () (Fixed) (Total:29.29 GB) (Free:3.5 GB) NTFS Drive e: () (Fixed) (Total:97.65 GB) (Free:3.66 GB) NTFS Drive f: () (Fixed) (Total:19.53 GB) (Free:0.34 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive g: () (Fixed) (Total:86.33 GB) (Free:9.19 GB) NTFS Infekcja jest bardzo uporczywa i trudno ją zatrzymać spod działającego Windows. Jeśli podejmujesz walkę, to zrób skan wszystkich partycji po kolei z poziomu środowiska zewnętrznego Kaspersky Rescue Disk. Wszelkie zainfekowane pliki leczyć, a gdy się nie uda wyrzucać. Nie wolno zostawić ani jednego pliku z genem Ramnit, gdyż jego przypadkowe uruchomienie rozpocznie cykl infekcji na nowo. Po operacji mogą pozostać uszkodzone programy i pliki Windows, programy trzeba będzie reinstalować na nowo ze świeżych instalotorów, z plikami Windows gorzej. Nie wiadomo jak szeroki jest tu zakres infekcji, ani czy Kaspersky pomoże. Poza tym, w przypadku infekcji wykonywalnych i tak zawsze jest sugerowany format, nawet jeśli uda się infekcję zatrzymać. Powód jest następujący: zakres szkód w plikach jest niemożliwy do oceny, mogą pozostać uszkodzenia, które wyjdą na jaw dopiero w późniejszym terminie.

Zestaw logów FRST niekompletny - brak trzeciego pliku Shortcut. Na razie sobie to jednak daruj: Owszem, widać tu wpisy infekcji, ale one są oznaczone jako puste i na razie nie będę się tym zajmować. To nie jest przyczyna problemów z utratą dostępu do danych. To co się tu dzieje to odrzucanie przez system Windows poprzedniego katalogu konta i tworzenie nowego. Obecnie Twoje konto działa z folderów: C:\Documents and Settings\All Users.WINDOWS C:\Documents and Settings\Asia.KOMP Poprzednie nie są już powiązane z kontem: C:\Documents and Settings\All Users C:\Documents and Settings\Asia Problem asocjacji kont teoretycznie można zacząć naprawiać poprzez przekierowanie na stare ścieżki, ale to może być nieskuteczne oraz jest możliwe że nie ma ta akcja sensu. Przyczyną stanu rzeczy mogą być m.in. błędy dysku. I w Dzienniku zdarzeń są takie właśnie błędy oznaczające złe bloki dysku: System errors: ============= Error: (02/02/2015 00:31:53 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk0\D Temat przenoszę na diagnostykę do działu Hardware. Dostarcz dane wymagane działem: KLIK. Proponuję też od razu zabezpieczyć co cenne kopiując na jakiś nośnik zewnętrzny, bo nie wiadomo co jest na widoku.

Fix "nie pomógł", bo nie wykrywa tego wpisu? Chodziło mi o użycie tego narzędzia, by usunąć więcej danych instalacyjnych. Skoro brak wyników, to po prostu usuń sam wpis z klucza Uninstall. Ostatni skrypt do FRST: Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160010} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Wpis Java nie powinien być już widoczny na liście Dodaj/Usuń.

I o to chodzi, zmienili po prostu nazwę opcji. Tak więc to do wykonania, a po tym zrób już ostatni log FRST (bez Addition i Shortcut).

Zainstalowałaś wątpliwy podejrzany program YAC(Yet Another Cleaner!). Więcej na jego temat w tym poście: KLIK. Są tu także ślady stosowania kolejnego wątpliwego skanera z czarnej listy: SpyHunter. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1420240618&from=wpm12311&uid=HitachiXHTS547564A9E384_J2130053DUP57BDUP57BX CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1420240618&from=wpm12311&uid=HitachiXHTS547564A9E384_J2130053DUP57BDUP57BX" CHR DefaultSearchKeyword: Default -> v9 HKU\S-1-5-21-2557106379-4252444901-3873938366-1001\...\Run: [AdobeBridge] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com URLSearchHook: [s-1-5-21-2557106379-4252444901-3873938366-1004] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKU\S-1-5-21-2557106379-4252444901-3873938366-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\Zuzanna\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Zuzanna\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Zuzanna\AppData\Local\WorldofTanks C:\Users\Zuzanna\Downloads\*(*)-dp*.exe C:\Users\Zuzanna\Downloads\*Downloader.exe C:\Users\Zuzanna\Downloads\SpyHunter-Installer.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy v9 oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Verdugo, jeśli nikt jeszcze nie odpisał, nie twórz posta pod postem, tylko jeden post i funkcja Edytuj, by go uzupełnić o nowe dane. Skleiłam powyższe. Fix jest jednorazowy i w zasadach działu jest napisane, by go nie powtarzać tylko w przypadku problemu od razu zgłosić się na forum. Tu jest prawdopodobne, że wieszają Fix dwie ostatnie komendy CMD rekursywnie ściągające atrybuty i kasujące z całego dysku C pliki o modelu nazwy HELP_DECRYPT.*. Czy w folderze archiwum logów C:\FRST\Logs są jakieś pliki o nazwie Fixlog_data_czas.txt? Jeśli tak, wszytkie dotarcz do wglądu. Nie interesują mnie pliki o nazwie FRST_data_czas.txt, bo to poprzednie skany FRST.

Proszę: - Nie wysyłaj do mnie PW z logami. Mam wyraźnie w profilu napisane, że nie rozwiązuję spraw technicznych via PW. - Jeśli nikt jeszcze nie odpisał, zamiast pisać post pod postem korzystaj z opcji Edytuj. Posty sklejone. - Opisz dokładniej problem. Z treści "Mam bardzo podejrzny fastbar" nic nie wynika konkretnego. - Uzupełnij wymagane logi. Był tu podany tylko FRST Addition, a mają być trzy logi FRST (FRST.txt, Addition.txt i Shortcut.txt): KLIK. - Nie wklejaj logów w postach. Oryginalne pliki mają być wstawione jako załączniki.

Akcje wykonane. Ostatni skrypt do FRST. Wklej do Notatnika: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Monix\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Monix\Downloads\f0mc7f0d.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tabs /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURls" /v Tabs /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Tylko się upewnię: czy wskazujesz te ścieżki ręcznie przy instalacji sterownika?

Tak, chodzi o taką formę załączników. Rootkit pomyślnie usunięty, ale kupa roboty przed nami. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Symantec HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\STOPzilla! HKLM Group Policy restriction on software: C:\Program Files\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Program Files\Common Files\PC Tools HKLM Group Policy restriction on software: C:\Program Files\AVG\ HKLM Group Policy restriction on software: C:\Program Files\AVG\AVG2012 HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\system: [EnableLUA] 0 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Winlogon: [shell] explorer.exe,C:\Users\XX\AppData\Roaming\template.xml ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms} HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms} SearchScopes: HKLM -> URL http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKLM -> SuggestionsURL_JSON http://api.widdit.com/suggestions/?format=ffplugin&ua=ie&src=addon&si=39033&gid=1&dbCode=1&command={searchTerms} SearchScopes: HKLM -> TopResultURLFallback http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {06913AD4-1A2E-4074-9212-5F93060F0BA4} URL = http://www.dymasearch.com/search.php?src=tops&q={SearchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} URL = http://gb.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {C907CFDE-0E1B-428A-9CE8-ABA04F73AFE1} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms} BHO: No Name -> {2b80b144-89ad-4b68-a8cc-bb44266c7164} -> No File BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {905676b7-7ac2-24f3-bdb2-0b07e403792d} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM - No Name - {2b80b144-89ad-4b68-a8cc-bb44266c7164} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {C55D30C7-3B86-4D70-98D3-CAA716DF0D83} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - No File Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path CHR HKLM\...\Chrome\Extension: [ipfhoepcbdngdoljpcgpbdidoknedfmc] - C:\Program Files\CertifiedToolsToolbar\chrome\CertifiedToolsToolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2011-11-13] CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12] CHR HKLM\...\Chrome\Extension: [oilihjdlfjineennpeeionkmaodanbcj] - C:\Program Files\CertifiedToolbar\chrome\CertifiedToolbar.crx [Not Found] Task: {06924F4C-784E-4DFC-A78B-55CFD6CF17E2} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {12543C65-8A6D-401C-B87F-2D7189D0BFF1} - System32\Tasks\{58D2200F-DDCF-445E-BE0F-7FF74826830C} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/8770 Task: {13477BC6-7495-4923-A0A9-0D3C73496ACF} - System32\Tasks\FRAPS => C:\Fraps\fraps.exe Task: {1851BD8D-1CD9-4021-9B2D-AFAE68B2552C} - System32\Tasks\{E8315CC3-04B0-426F-8A47-48141DDDAAFD} => pcalua.exe -a C:\Users\XX\Desktop\FrytkiBOT\HS_Blocker.exe -d C:\Users\XX\Desktop\FrytkiBOT Task: {22EC2BE5-E133-48C0-9CC6-BA319860DD79} - System32\Tasks\{DF5B99D9-8E73-4DE4-9159-70B61871B7FC} => pcalua.exe -a E:\setup.exe -d E:\ Task: {25BFAB60-C28A-4350-8C41-A698CA80CB38} - System32\Tasks\ygedzjm => C:\Users\XX\AppData\Local\Temp\ltuohkc.exe Task: {295381B2-EB77-4598-B837-9D9C24DA9139} - System32\Tasks\{989EBDBD-62FC-4DB4-8DCB-543EC4D95931} => pcalua.exe -a "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012\NAVI GUI 2012 (800x600).exe" -d "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012" Task: {2D4F8C61-1477-4FA3-8D8A-27F47B01DEAD} - System32\Tasks\YTAUpdate => C:\PROGRA~1\YOUTUB~1\Updater.exe Task: {32029460-E958-44A0-BA80-8221EA9FFD74} - System32\Tasks\{FED27A72-CD48-401E-B52B-A01C84B20AC8} => pcalua.exe -a C:\Users\XX\Desktop\6.86_nforce_win2kxp_international_whql.exe -d C:\Users\XX\Desktop Task: {3B6D2E55-39E6-48BD-8C8F-551E5E38292A} - System32\Tasks\DLL-files.com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {404D011E-2713-44EB-A64B-20A415347285} - System32\Tasks\RDReminder => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {4CC0979E-EBF3-42B9-810F-6B61272D915B} - \YourFile Update No Task File Task: {4DC82095-010D-460C-825D-92E2B531A548} - System32\Tasks\{54C3F4D1-5A52-4322-BB05-C58ACAE38103} => pcalua.exe -a C:\Users\XX\Desktop\Sims3_2.3.33.003002_from_2.0.86.002002.exe -d C:\Users\XX\Desktop Task: {523ABEBE-4550-49A1-85B6-05E6C8A53F94} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {54483DCB-4108-4760-BE2F-93CA31181498} - System32\Tasks\{E169A21B-87F1-49EC-ABDF-25EF09604D5C} => pcalua.exe -a "C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe" -d "C:\Program Files\Common Files\Ahead\Nero Web" -c -ScParameter=8 MODE="update" Task: {570B6FE7-F4A1-48B1-A4BB-ABB7D1E13151} - System32\Tasks\{A2A3B52A-3ABC-4E3B-A91D-4F6DBBCDF0F4} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files\Gimnazjum klasa 1 - Fizyka\Uninst.isu" -c"C:\Program Files\Gimnazjum klasa 1 - Fizyka\UninstallProject.dll" Task: {575C1BC2-65F3-430A-BAA1-C3B940790CBA} - System32\Tasks\Math Problem Solver GPU => C:\Users\XX\AppData\Local\Math Problem Solver\gpu\dummysleep.exe Task: {5BAAF458-EA78-4758-B398-6994CF39200F} - System32\Tasks\{4052535E-4CBB-46CE-88CE-FF3F7F2578E2} => Chrome.exe Task: {5D46EFF2-93A0-4F02-B23A-209859A96EA4} - System32\Tasks\{C32C989B-439E-4F8B-97BF-12911FE0BF77} => pcalua.exe -a "C:\Users\XX\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9WKBOPGG\OggDS0995[1].exe" -d C:\Users\XX\Desktop Task: {68A883B9-7843-4992-9095-486DCC2BD89D} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files\Protected Search\ProtectedSearch.exe Task: {7284FFD2-64F8-4FEB-AA07-CA9D0022173C} - System32\Tasks\{F4035CFF-BFC2-4D32-9FF5-C4CDFACAF83D} => pcalua.exe -a "D:\Electronic Arts\Game\Bin\Sims3_2.3.33.003002_from_2.0.86.002002.exe" -d "D:\Electronic Arts\Game\Bin" Task: {75DEB202-D1C3-4C4F-A15F-EB439C1091E0} - System32\Tasks\{CD37BA95-3A2E-4907-BCAE-4B8B6C705602} => c:\program files\opera\opera.exe Task: {762CB282-0F27-4DAB-A67A-36FF61F21279} - System32\Tasks\Math Problem Solver CPU => C:\Users\XX\AppData\Local\Math Problem Solver\cpu\Solve.exe [2014-02-02] () Task: {78808536-ACA4-4E4F-A7C1-1DFD81E158CA} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~1\YOUTUB~1\Updater.exe Task: {7E314B7E-8E4E-4A76-AFA5-DB1C64EC1FC0} - System32\Tasks\{2AFC76AB-09AA-472C-A27F-25BD5C7E0BC6} => pcalua.exe -a "C:\Program Files\YouTube Accelerator\YTAUninstall.exe" Task: {80D5E017-E192-4F38-B011-DC5DB2D8B49F} - System32\Tasks\{1C96B60C-FCFD-419A-BA77-10F9276C98F6} => pcalua.exe -a C:\Users\XX\Downloads\dotNetFx35setup(2).exe -d C:\Users\XX\Downloads Task: {8697C433-D4DF-49F6-A307-79E271D1CF96} - System32\Tasks\Math Problem Solver Optimize => C:\Users\XX\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {892E0C77-F65F-42DF-B13A-4E44E40AB97C} - System32\Tasks\{88890589-C6E2-4BD2-B74A-DC9F2D89E870} => Chrome.exe Task: {9811EF5D-B8C1-4858-9FE6-62BF608D5DBD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe Task: {A5134CAE-2604-44BD-BFE2-8DE663F9E3BF} - System32\Tasks\Norton Security Scan for XX => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe Task: {B6B8654D-E32F-4D4D-944F-04B8028AD5A7} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {C04E7C3C-5167-418F-B1A2-0ADDB046C330} - System32\Tasks\{CEDCA9A4-CA14-4898-806A-951001CB2696} => pcalua.exe -a D:\CMR5.EXE -d D:\ Task: {CA4EF24A-04C7-4085-99F4-1FAD95043CF9} - System32\Tasks\{9B087F2E-F6D4-419B-B4D7-7354C5C0E970} => pcalua.exe -a "C:\Program Files\Mozilla Firefox\uninstall\helper.exe" Task: {CEA0A51F-AA11-463C-ADAC-769B8472C608} - System32\Tasks\{826D5F60-B62E-4C03-8A96-36BA93EB15BB} => pcalua.exe -a C:\Users\XX\Desktop\UniSpiker-2.6.exe -d C:\Users\XX\Desktop Task: {CFC7E1E8-97AE-4A89-A0B0-0DF0EB565419} - System32\Tasks\{6783762C-982D-497A-A37E-84E3E32719B0} => pcalua.exe -a "C:\Program Files\Steam\steam.exe" -c steam://uninstall/10 Task: {D0885CAB-62D1-4F32-8340-B5ACFD91DD1F} - System32\Tasks\{833EB77C-B397-4ABC-98C8-84A879989263} => pcalua.exe -a C:\Users\XX\Downloads\dziennik.exe -d C:\Users\XX\Downloads Task: {D5CAD9B4-3045-431D-BE45-B77677F838FF} - System32\Tasks\{17E4218E-C7C1-48EB-9827-4E3249531243} => pcalua.exe -a C:\Users\XX\AppData\Local\Temp\Temp1_AdobePhotoshop10pl_PL[www.INSTALKI.pl].zip\pl_PL\20070503.t4ce.089\Retail\Setup.exe Task: {DE0518D5-868B-4FEA-91C4-615E9AC0483F} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe Task: {E9B9C72B-2F33-4C06-BBEA-BDFC65D0FA77} - System32\Tasks\{AE041394-CEB8-4195-9334-B0E5CF6E0BCD} => C:\Program Files\Nokia\Ovi Player\NokiaOviPlayer.exe Task: {F519B37A-5D1B-41DD-9305-FDEAB358736D} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {F89302F3-C51D-4FBC-943F-9C567F93ADAC} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {FF635474-C465-4FFD-B9B1-296C60F5D6EF} - System32\Tasks\{9A5426C8-494B-480C-88CF-13EB3DEE31CE} => pcalua.exe -a "C:\Program Files\4Media\Video Editor 2\Uninstall.exe" Task: {FFC8B55D-82F4-4FB8-B441-15E23716985B} - System32\Tasks\{A82B4408-EE86-437D-876E-374CE6D7D982} => pcalua.exe -a C:\Users\XX\Desktop\Expressivo_1_2_0_Jacek_Demo.exe -d C:\Users\XX\Desktop Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe Task: C:\Windows\Tasks\DLL-files.com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\Norton Security Scan for XX.job => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76507945.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76507945.sys => ""="Driver" HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\exefile: S3 ServiceLayer; "C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe" [X] S4 YouTubeAcceleratorService; C:\PROGRA~1\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 glynnxxGE; \??\C:\Users\XX\Desktop\[cshacked.pl]Intelligent Aimbot Gold Edition Cracked\Intelligent Aimbot Gold Edition Cracked\glynnharr.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S0 szkgfs; system32\drivers\szkgfs.sys [X] C:\sh-remover.exe C:\182186e7 C:\Program Files\007 C:\ProgramData\htnsmun.html C:\ProgramData\LM32X3ViF.dat C:\ProgramData\avg9 C:\ProgramData\InstallMate C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\SteelSeries C:\ProgramData\Symantec C:\ProgramData\TEMP C:\ProgramData\VOIPlay C:\ProgramData\ZugkuKoqut C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu 10.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autonomiczny składnik AVG LinkScanner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Flick C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Photosmart Essential 3.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\XX\BullseyeCoverageError.TXT.kcirdgd C:\Users\XX\AppData\Local\{*} C:\Users\XX\AppData\Local\setup.exe C:\Users\XX\AppData\Local\Temp*.html C:\Users\XX\AppData\Local\Ares C:\Users\XX\AppData\Local\BearShare C:\Users\XX\AppData\Local\Egftion C:\Users\XX\AppData\Local\Geckofx C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\XX\AppData\Local\Google\Picasa2 C:\Users\XX\AppData\Local\Google\Picasa2Albums C:\Users\XX\AppData\Local\Mozilla C:\Users\XX\AppData\Local\Nokia C:\Users\XX\AppData\Local\Opera C:\Users\XX\AppData\Local\Pokki C:\Users\XX\AppData\Local\screenSHU C:\Users\XX\AppData\Local\YfPack C:\Users\XX\AppData\LocalLow\bearsharemediabartb C:\Users\XX\AppData\LocalLow\CertifiedToolsToolbar C:\Users\XX\AppData\LocalLow\Sun C:\Users\XX\AppData\Roaming\6201c0551d203b.xml C:\Users\XX\AppData\Roaming\embranchment.ed C:\Users\XX\AppData\Roaming\LiveSupport.exe_log.TXT.kcirdgd C:\Users\XX\AppData\Roaming\regsvr32.exe_log.TXT.kcirdgd C:\Users\XX\AppData\Roaming\template.css C:\Users\XX\AppData\Roaming\template.log C:\Users\XX\AppData\Roaming\72C8C5EA C:\Users\XX\AppData\Roaming\.minecraft C:\Users\XX\AppData\Roaming\Adetymwu C:\Users\XX\AppData\Roaming\avidemux C:\Users\XX\AppData\Roaming\Audacity C:\Users\XX\AppData\Roaming\Balmora.pl C:\Users\XX\AppData\Roaming\DVD Flick C:\Users\XX\AppData\Roaming\FileZilla C:\Users\XX\AppData\Roaming\com.w3i.FlipToast C:\Users\XX\AppData\Roaming\Gadu-Gadu 10 C:\Users\XX\AppData\Roaming\GoldenGate C:\Users\XX\AppData\Roaming\Igosonne C:\Users\XX\AppData\Roaming\Local Store C:\Users\XX\AppData\Roaming\Mozilla C:\Users\XX\AppData\Roaming\OpenFM C:\Users\XX\AppData\Roaming\Opera C:\Users\XX\AppData\Roaming\SteelSeries C:\Users\XX\AppData\Roaming\Ubkafo C:\Users\XX\AppData\Roaming\wargaming.net C:\Users\XX\AppData\Roaming\WordToPDF C:\Users\XX\AppData\Roaming\Ynehcaac C:\Users\XX\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SteelSeries C:\Users\XX\Desktop\Malestia.pl client 20.12.2014.RAR.kcirdgd C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.bmp C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.txt C:\Windows\system32\Drivers\*.szcpf C:\Windows\system32\Drivers\1DF1592B.sys C:\Windows\system32\Drivers\2F6C59A4.sys C:\Windows\system32\Drivers\5EFA3319.sys C:\Windows\system32\Drivers\61C35F4E.sys C:\Windows\system32\Drivers\2F9C5F72.sys Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Math Problem Solver, OfferBLVDUpdate, saveron, WordToPDF Packages, YouTube Accelerator. - Zbędniki i nadwyżkę skanerów: Adobe Shockwave Player 12.1, AVG Security Toolbar, Avira, Avira Free Antivirus, SpyHunter 4, STOPzilla. Wpisy adware są uszkodzone. Jeśli ich nie będzie widać lub zgłosi się błąd, kontynuuj dalej. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware PriceDownloader Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt.

Widziałam to w Addition: ==================== Faulty Device Manager Devices ============= Name: PCI Device Description: PCI Device Class Guid: {4D36E97D-E325-11CE-BFC1-08002BE10318} Manufacturer: Service: HDAudBus Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: PCI Device Description: PCI Device Class Guid: {4D36E97D-E325-11CE-BFC1-08002BE10318} Manufacturer: Service: HDAudBus Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Usuwałam też za pomocą FRST martwe usługi: S3 ctdvda2k; System32\drivers\ctdvda2k.sys [X] S3 HDAudBus; system32\DRIVERS\HDAudBus.sys [X] S3 kxwdmdrv; system32\drivers\kx.sys [X] Skoro problem powraca, to pod kątem HDAudBus wstępnie sprawdź ten scenariusz: KLIK.

Tylko drobne odpadki adware oraz puste wpisy widoczne. Poprawki: 1. Odinstaluj Surfing Protection od IOBit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4B393384-05CC-4F9A-8AD5-5F7948F36056} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {4FB330C8-9639-45C0-94EC-A4A392DAA191} - \DealPly No Task File Task: {9492AE53-2D1A-47D3-A2DF-967EB607FED4} - System32\Tasks\DealPlyUpdate => C:\Program Task: {978842C0-8FAF-4091-9634-F704C9260D3F} - System32\Tasks\EPUpdater => C:\Users\Monix\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418510501&from=cor&uid=SAMSUNGXHD321KJ_S0MQJDWQ114238" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2232964261-3540459803-2901109087-1000 -> {60F2A61B-4CA9-45FF-94E5-3EBCF0BA1140} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=114576&p={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2232964261-3540459803-2901109087-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File HKU\S-1-5-21-2232964261-3540459803-2901109087-1000\...\Run: [AdobeBridge] => [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] AlternateDataStreams: C:\ProgramData\Microsoft:gicILdp5KoPVp7kQoiQpriqtr AlternateDataStreams: C:\ProgramData\Microsoft:xgtBPX16BTfqTgtZStdgPOv AlternateDataStreams: C:\ProgramData\Microsoft:ZYRpxqYkazUXi9T6ZPaPq AlternateDataStreams: C:\Users\Monix\Cookies:G8dV1U1b6kNUbZVbVU AlternateDataStreams: C:\Users\Monix\Ustawienia lokalne:h1869xXWja3FzuFKoRvaZr AlternateDataStreams: C:\Users\Monix\AppData\Local:h1869xXWja3FzuFKoRvaZr AlternateDataStreams: C:\Users\Monix\AppData\Local\0rc4o8VX4wf2Wj:80HXJbjdqbfKejcuzVi4Aov AlternateDataStreams: C:\Users\Monix\AppData\Local\Dane aplikacji:h1869xXWja3FzuFKoRvaZr C:\Program Files\AutoRun.inf C:\Users\Monix\AppData\Local\{69BFF262-8BEF-41C7-A6D6-D36290343342} C:\Users\Monix\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 7" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Apps Hat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppsHat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Extensions" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Slick Savings" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpeedAnalysis.com /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony czyszczeniem specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Monix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co usuwał i skąd).