picasso

To nie rekomendacja związana z faktyczną zgodnością z systemem tylko sponsoring, a nawet "bloatware". Producenci komputerów / laptopów uwielbiają preinstalować określone marki lub skłaniać do tego użytkownika. Tym sposobem multum systemów w stanie jakoby "świeżym" ma preinstalowane określone antywirusy (zwykle jest to McAfee lub Symantec) oraz masę innych zbędników. vs. Nie wiem po co komplikujesz sprawy i wklejasz zrzuty do dokumentów. Rób bezpośrednie zrzuty ekranu i zapisz jako plik graficzny. Zamknięcie w rozumieniu uniemożliwienia dalszych odpowiedzi może zrobić tylko moderator działu. W tym przypadku ja.

Skasuj z dysku plik C:\Delfix.txt. Tematu zgodnie z życzeniem nie zamykam i czekam na wyniki diagnozy technika McAfee.

To ustawienia globalne systemu (defekt na wszystkich kontach) oraz konto Krystian są nośnikiem aktywności adware. Na koncie limitowanym nie ma czynnych obiektów adware (są tylko małe drobnostki). A konkretnie to te kwiatki odpowiadają za produkcję reklam: R2 GEDaPsL; C:\ProgramData\YbbayXorNC\GEDaPsL.exe [2726256 2014-12-28] (Acute Angle Solutions Ltd) R2 WHService; C:\Users\Krystian\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [File not signed] AKCJE NA KONCIE KRYSTIAN: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 GEDaPsL; C:\ProgramData\YbbayXorNC\GEDaPsL.exe [2726256 2014-12-28] (Acute Angle Solutions Ltd) R2 WHService; C:\Users\Krystian\AppData\Roaming\WHService\wh.exe [628736 2014-10-15] () [File not signed] S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] HKU\S-1-5-21-622784062-384319640-2803719364-1009\...\Run: [softonicAssistant] => "C:\Users\Krystian\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe" Task: {44448D2D-7228-41F3-8240-9F246936AF31} - System32\Tasks\iolo System Checkup => C:\ProgramData\iolo\scustask.lnk GroupPolicyUsers\S-1-5-21-622784062-384319640-2803719364-1010\User: Group Policy restriction detected ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:59406;https=127.0.0.1:59406 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: No Name -> {0025320D-4D37-4C73-9A5C-0C28F04068A3} -> C:\Users\Krystian\AppData\LocalLow\IE-BHO\bho.dll No File C:\ProgramData\YbbayXorNC C:\Users\KR\AppData\Local\SafeWeb C:\Users\Krystian\setup.exe C:\Users\Krystian\AppData\Local\SafeWeb C:\Users\Krystian\AppData\Roaming\WHService C:\Users\Krystian\Downloads\*(*)-dp*.exe C:\Users\Krystian\Downloads\*paweldrivers.com.exe C:\Users\Krystian\Downloads\SoftonicDownloader_*.exe C:\Users\Krystian\Downloads\veetle-0.9.19.exe Reg: reg delete HKU\S-1-5-21-622784062-384319640-2803719364-1009\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0025320D-4D37-4C73-9A5C-0C28F04068A3} /f Reg: reg delete HKU\S-1-5-21-622784062-384319640-2803719364-1009\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0025320D-4D37-4C73-9A5C-0C28F04068A3} /f Reg: reg delete HKU\S-1-5-21-622784062-384319640-2803719364-1010\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0025320D-4D37-4C73-9A5C-0C28F04068A3} /f Reg: reg delete HKU\S-1-5-21-622784062-384319640-2803719364-1010\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0025320D-4D37-4C73-9A5C-0C28F04068A3} /f Reg: reg delete HKU\S-1-5-21-622784062-384319640-2803719364-1010\Software\Softonic /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie fixlog.txt. 2. W Firefox w rozszerzeniach odmontuj adware WebSec Fox. Jest tu też świeżo doinstalowany klon CyberFox - FRST nie skanuje profilu tej niszowej przeglądarki, na wszelki wypadek ręcznie przewertuj opcje. 3. Napraw uszkodzony skrót IE. Przejdź do ścieżki: C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Po wszystkich w/w akcjach ponowne uruchomienie MBAM powinno wykryć tylko ten obiekt i wiadomo dlaczego: PUP.Hacktool.Patcher, C:\Program Files (x86)\Internet Download Manager\Patch.rar, , [461eea12bacf92a452b21beb9b65ed13],

1. Jeśli chodzi o czyszczenie systemu, skończyliśmy. Skasuj FRST z J:\. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Jeśli chodzi o McAfee, jak mówiłam, skontaktuj się bezpośrednio z supportem technicznym. Program legalny i na licencji, mają obowiązek zająć się sprawą.

Fix FRST większość przetworzył, ale nie wszystko. Obecnie AdwCleaner ma już korektę bugu. Pobierz najnowszą wersję, zrób ponownie skan za pomocą opcji Szukaj i dostacz wynikowy log.

Ten "rootkit" wykryty przez GMER to jest komponent adware - uługa "pomocnicza". I nie tylko to jest w systemie, również sterowniki grupy Sambreel (związane z adware Solution Real i Techgile) i inne ślady. Owe sterowniki mogą być przyczyną tajemniczych BSOD. Do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {7668d866-cc70-408f-b874-d683473d0f40}Gw64; C:\Windows\System32\drivers\{7668d866-cc70-408f-b874-d683473d0f40}Gw64.sys [48784 2014-12-21] (StdLib) R1 {886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64; C:\Windows\System32\drivers\{886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64.sys [48784 2015-01-09] (StdLib) R1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [48784 2014-12-13] (StdLib) R1 {d274785e-a122-4588-b510-cd4d0fe10348}Gw64; C:\Windows\System32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}Gw64.sys [48792 2014-12-13] (StdLib) S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-14] (Fuyu LIMITED) [File not signed] S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418527843&from=cor&uid=WDCXWD10EADS-00M2B0_WD-WMAV5008966289662&q={searchTerms} HKU\S-1-5-21-973633878-3127659-858757103-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141214 CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-12-14] FF user.js: detected! => C:\Users\Ann\AppData\Roaming\Mozilla\Firefox\Profiles\z412yz66.default\user.js C:\Program Files (x86)\Solution Real C:\Program Files (x86)\Techgile C:\ProgramData\WindowsMangerProtect C:\Users\Ann\AppData\Roaming\systweak C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{7668d866-cc70-408f-b874-d683473d0f40}Gw64.sys C:\Windows\System32\drivers\{886f5d30-5b8b-42ab-98f8-31d062b96dc3}Gw64.sys C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\System32\drivers\{d274785e-a122-4588-b510-cd4d0fe10348}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EpicScale" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice. - Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zadanie wykonane. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To o niczym nie świadczy. Windows nie jest stałą tkanką, ani wymienione programy, konfiguracja płynna. Nie jest też wykluczony problem stworzony przez instalacje sterowników: To są moje spekulacje. Mogłeś zainstalować sterowniki, które nie są potrzebne, nie pasują / tworzą konflikty lub zostały wprowadzone niepożądane zmiany. Automaty do aktualizacji sterowników są nieprecyzyjne, już tu na forum byli użytkownicy którzy sobie pogorszyli stan Windows przy udziale takich automatów. Nie wiem co było instalowane. Masowo przeprowadzałeś akcję i duża ilość elementów uległa zmianie. Jedyna droga jaką widzę przy tak niejasnym gruncie, to cofnąć cały system za pomocą Przywracania systemu do czasu sprzed aktualizacji sterowników, wybierając najstarszy dostępny punkt (zakreślony poniżej). Nie wiadomo czy na pewno jest to punkt pochodzący sprzed wszystkich instalacji, mogły być jakieś wcześniej tylko że brak już punktów. ==================== Restore Points ========================= 20-01-2015 23:43:14 Instalacja pakietu sterownika urządzenia: Realtek Karty sieciowe Oczywiście użycie Przywracania systemu spowoduje, że wszystkie zadane przeze mnie operacje czyszczące zostaną odwrócone. Z tym że nie wiadomo czy będzie wymagane ponowne czyszczenie, gdyż w tak odległym punkcie modyfikacji adware może po prostu nie być.

Brakuje FRST Shortcut - ten log zawsze jest sprawdzany. W raportach brak jakichkolwiek oznak infekcji (w msconfig jest tylko odpadkowa usługa adware WindowsMangerProtect). Raport odbija też przeprowadzoną modyfikację na poziomie routera i są widoczne adresy Netia: Tcpip\Parameters: [DhcpNameServer] 62.233.233.233 87.204.204.204 Jedyne co mogę więc tu zasugerować, to jeszcze wyczyścić bufor DNS Windows oraz pliki tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: C:\ProgramData\TEMP CMD: ipconfig /flushdns Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WindowsMangerProtect" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

michaelll732 W modelu TP-LINK TL-MR3220 odpowiednikiem tej konfiguracji jest już wykonana edycja, czyli Security > Remote Management > IP ustawione na zera. Zoozka Rekonfiguracja powyższej opcji "Remote Management" powinna zamknąć dostęp typu zdalnego. Ale jeszcze można ograniczyć dostęp lokalny. Wg symulatora interfejsu jest też sekcja Security > Local Management i tu można ograniczyć poprzez przełączenie z "All the PCs on the LAN are allowed to access the Router's Web-Based Utility" na "Only the PCs listed can browse the built-in web pages to perform Administrator tasks" (trzeba wpisać adresy MAC). Poza tym, możesz się skontaktować z producentem routera w celu wyjaśnienia kwestii. Ja nie widzę obecnie przyczyny dlaczego test online zwraca takie wyniki (przy założeniu, że edycje zaimportowane po upgradzie firmware się utrzymały). Moim pytaniem jest: czy po przeprowadzonych działaniach MBAM nadal zgłasza zmienione DNS?

Ta "usterka" jest od dawna. Chodzi o to, że informacja w tagu CODE jest tak długa, a nie ma zawinięcia do następnej linii, iż następuje "rozbicie" na mniejszych oknach.

Hmm, poniżej wdrożone ustawienie powinno być wystarczające do zamknięcia dostępu. Ustawienia się na pewno zapisały? Z jakim dokładnie modelem routera mamy do czynienia?

Wydaje się, że wszystko zostało skonfigurowane jak należy - czy sprawdzałaś test online? Powinien zwrócić brak dostępu. Wykonaj resztę zadań pobocznych i zgłoś się tu z podsumowaniem czy problemy z komunikatami MBAM nadal występują.

Zdublowane raporty FRST - podwójny log główny, brak pliku Shortcut. Temat przenoszę do działu Windows. Nie ma żadnych oznak czynnej infekcji. W spoilerze czyszczenie wpisów pustych, poziom kosmetyczny, nie będzie mieć żadnego wpływu na polepszenie wydajności. Sugestie wstępne: 1. Ograniczyć ilość uruchamianych procesów. W Autoruns zdeaktywować: - Karta Logon: Adobe ARM, AdobeAAMUpdater-1.0, AdobeCS6ServiceManager, APSDaemon, BCSSync, DAEMON Tools Lite, EaseUS EPM tray, QuickTime Task, StartCCC, SwitchBoard. - Karta Services: Adobe ARM, KMService (crack Office), MSI_LiveUpdate_Service, SwitchBoard, WinDefend. By widzieć ten ostatni, należy włączyć pokazywanie wpisów Microsoftu. - Karta Schedule Tasks: AdobeAAMUpdater. Po akcji restart systemu. Log sugeruje również, że jedna ze świeżych instalacji to ControlCenter od MSI. Oprogramowanie wstawiło dużo serwisów / sterowników i może to być nie bez znaczenia. 2. Upewnić się, że problemu nie tworzy inwazyjny pakiet ESET Smart Security (testowa deinstalacja).

Grisza, link nie działa... Sformułuj go w inny sposób (docelowy link do obrazka JPG bez dynamicznych ciągów ID doklejonych do), by dało się zaprezentować obrazek.

EDIT: Tak chodziło o ten najstarszy. Zbędne logi usuwam. Zadania zostały pomyślnie wykonane i problem przekierowań adware nie powinien występować. Ale tu jeszcze nie koniec operacji. Poprawki na szczątki adware oraz innych programów np. Corel wygląda na odinstalowany: 1. Pobierz ponownie FRST i zapisz na Pulpicie, obecnie uruchamiasz go z katalogu starej wersji FRST-OlderVersion. Otwórz Notatnik i wklej w nim: S3 SPBIUpdd; \??\C:\Program Files\Common Files\ShopperPro\spbiw.sys [X] BHO-x32: Framed Display 1.0.0.7 -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll No File Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - No File CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" C:\Program Files\CorelDRAW Graphics Suite X5 C:\Program Files\Max Registry Cleaner C:\Program Files (x86)\AnyProtectEx C:\Program Files (x86)\Apps Hat C:\Program Files (x86)\Framed Display C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\mbot_pl_50 C:\Program Files (x86)\PodoWeb C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\Temp C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\Corel C:\ProgramData\CorelDRAW Graphics Suite X5 C:\ProgramData\CorelDRAW Graphics Suite X7 x64 C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Max Secure C:\ProgramData\Roaming C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Corel DRAW C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CorelDRAW Graphics Suite X5 C:\Users\ocznik1986\AppData\Local\CrashRpt C:\Users\ocznik1986\AppData\Local\Doctor_PC C:\Users\ocznik1986\AppData\Local\globalUpdate C:\Users\ocznik1986\AppData\Local\Installer C:\Users\ocznik1986\AppData\Local\Max Secure Software C:\Users\ocznik1986\AppData\Local\mbot_pl_50 C:\Users\ocznik1986\AppData\Local\Pay-By-Ads C:\Users\ocznik1986\AppData\Local\WorldofTanks C:\Users\ocznik1986\AppData\LocalLow\Goobzo C:\Users\ocznik1986\AppData\LocalLow\Internet Speed Checker C:\Users\ocznik1986\AppData\LocalLow\iWebar C:\Users\ocznik1986\AppData\Roaming\Corel C:\Users\ocznik1986\AppData\Roaming\DAEMON Tools Lite C:\Users\ocznik1986\AppData\Roaming\GetRightToGo C:\Users\ocznik1986\AppData\Roaming\RHEng C:\Users\ocznik1986\AppData\Roaming\Systweak C:\Users\ocznik1986\AppData\Roaming\TornTV.com C:\Users\ocznik1986\AppData\Roaming\VOPackage C:\Users\ocznik1986\AppData\Roaming\WebApp C:\Users\ocznik1986\Documents\Corel Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt na Pulpicie. Pokaż go. 2. Uruchom AdwCleaner. Na razie wywołaj tylko opcję Szukaj, nie stosuj Usuń, i dostarcz wynikowy log z folderu C:\AdwCleaner.

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj opcji Fix ponownie, chodzi o plik który jest już na dysku. EDIT: Dodałeś Fixlog, ale to zły plik (i na dodatek błędnie sformatowany). Uruchomiłeś skrypt dwa razy (a mówiłam, by tego nie robić)! Chodzi o log z pierwszego podejścia. Dostarcz C:\FRST\Logs\Fixlog_starsza data.txt.

ocznik1986, log na wadliwym ustawieniu (opcje "Drivers MD5" i "List BCD" nie mają być zaznaczone). I przecież nic w ogóle nie wykonałeś z zadań usuwania rozpisanych w punktach 2 do 4, które podałam. Masz wykonać wszystkie akcje podane przeze mnie. A gdy je ukończysz podajesz 4 logi: Z darmowym McAfee nie rozumiem wątku. Po co go szukasz, skoro w systemie jest Avast. Nie wolno instalować więcej niż jednego antywirusa w tym samym czasie, zamulisz system.

MBAM nie potrafi tego zlikwidować, bo to nie jest infekcja na poziomie Windows. Wartości DhcpNameServer to ustawienia DNS pobierane z routera i jest tu infekcja w routerze. Nie pomogą żadne skanery / fixy / naprawy spod Windows, jest konieczne czyszczenie innego urządzenia. Widzę, że próbując naprawiać problem stosowałaś straszny archaizm Fixwareout - to aplikacja sprzed wielu lat i służy do usuwania infekcji, która już nie występuje w przyrodzie. Czy był zamykany dostęp do panelu od strony internetu? Zmiana haseł nie wystarczy. Poza tym: czy jest jeszcze jakieś urządzenie poza routerem (modem)? Do wdrożenia następujące operacje - tylko punkt numer 1 jest związany z usuwaniem infekcji, reszta to poboczne działania: 1. Zaloguj się do routera: Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: ponownie zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj zbędny wątpliwy skaner STOPzilla. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [LManager] => [X] HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Classes\exefile: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-417449669-2771163209-2432074822-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-417449669-2771163209-2432074822-1002 -> {3E1EE27D-1E67-49BA-9995-5A1BA4FDB8BD} URL = Task: {864523AE-FEC3-4A2F-99EE-640EFFF4AA56} - System32\Tasks\{46792F03-8174-4687-9447-6C85D7E0A35E} => pcalua.exe -a "C:\Program Files (x86)\WildGames\uninstall.exe" -d "C:\Program Files (x86)\WildGames" S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] C:\fixwareout C:\ProgramData\cisFF22.exe C:\ProgramData\Temp C:\Users\ZOOZKA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Antivirus.lnk CMD: ipconfig /flushdns Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Start GeekBuddy.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BtPreLoad /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ETDCtrl /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Creative Cloud" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RadioController /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tvncontrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v PrivDogService /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ETDCtrl /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NTRedirect /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CCleaner /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skrypt wykonany. Możesz skasować FRST oraz poczęstować się DelFix. Ponownie uruchomiony skan MBAM nie powinien wykryć nic poza pozycjami "RiskWare.Tool.CK". Jeśli jednak zaplączą się wyniki opisane jako "Backdoor.Hupigon", to już je dokasuj za pomocą MBAM.

Log wykazuje ślady infekcji CTB-Locker tworzącej losowe suffixy w zakodowanym wersjach: 2015-01-20 13:30 - 2015-01-20 13:30 - 02949174 _____ () C:\Documents and Settings\TEST\Moje dokumenty\Decrypt All Files ziwcstm.bmp 2015-01-20 13:10 - 2015-01-20 13:30 - 00977589 _____ () C:\Documents and Settings\All Users\Dane aplikacji\osjolki.html 2015-01-19 10:39 - 2015-01-20 11:44 - 00061072 _____ () C:\Documents and Settings\TEST\Pulpit\potwierdzenia zapłaty.PDF.ziwcstm Opisy infekcji: KLIK, KLIK. Przykładowy temat z forum: KLIK. Przykro mi, deszyfracja danych jest niemożliwa. - Można próbować ewentualnie softu do odzyskiwania danych, ale marne widoki. - Jest tu wprawdzie dużo punktów Przywracania systemu ze starszego okresu (grudzień 2014), ale nie wiadomo od kiedy trwa infekcja, a poza tym na systemie XP Przywracanie systemu działa w innej technice i jest liche (w Vista i nowszych to globalne cieniowanie woluminu). Nie aplikuje się ustęp z Shadow Explorer.

Jeśli chodzi o adware, logi są z poziomu limitowanego konta KR - czy na pewno to konto jest zainfekowane? Na nim mało co widać, a wpisy Krystiana są "not found" (zapewne fałszywe ze względu brak praw). Usuwanie na tym koncie może być tylko w ograniczonym zakresie (specyfika konta limitowanego). Zrób też logi z poziomu konta administracyjnego Krystian (po pełnym restarie a nie Wyloguj czy Przełącz użytkowika). ========================= Accounts: ========================== KR (S-1-5-21-622784062-384319640-2803719364-1010 - Limited - Enabled) => C:\Users\KR Krystian (S-1-5-21-622784062-384319640-2803719364-1009 - Administrator - Enabled) => C:\Users\Krystian

Te Twoje "kwiatki" to nic szczególnego: głównie odpadki adware. Obiekt RiskWare.Tool.CK punktujący C:\Windows\KMService.exe to crack Office, ekhm, do ominięcia. Bardziej kosmetyczne działania (na szczątki adware i puste / odpadkowe wpisy) tutaj niż jakieś straszne edycje: Skrypt fixlist.txt do FRST: CloseProcesses: CreateRestorePoint: R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [File not signed] S3 WINIO; \??\C:\Program Files (x86)\QMacro\hknms.sys [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Run: [] => [X] HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\Explorer: [] HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Winlogon: [shell] explorer.exe, SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-3147454950-3773726357-3176012894-1001 -> {FF9858AD-FFBA-4360-B551-CB47AB646635} URL = FF Plugin-x32: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files (x86)\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.) C:\Program Files (x86)\Yahoo! C:\ProgramData\iqrjmdeq.fak C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WUFI® 5 C:\Users\Krzysieq\AppData\Local\Temp0canimage.jpg C:\Users\Krzysieq\AppData\Roaming\OpenCandy C:\Users\Krzysieq\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Sony PC Companion 2.1.lnk C:\Users\Krzysieq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Windows\System32\roboot64.exe C:\Windows\SysWOW64\ezSharedSvcHost.exe CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s C:\Windows\QMDispatch.dll CMD: sc config "Mobile Partner. RunOuc" start= disabled CMD: sfc /scanfile=C:\Windows\Microsoft.NET\Frameworkx86\v4.0.30319\mscorsvw.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony PC Companion" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Systweak /f Reg: reg delete HKCU\Software\Systweak /f EmptyTemp: Uruchom FRST i kliknij w Fix. Nastąpi restart - pokaż fixlog.txt.

Przypuszczalne metody nabycia: KLIK. A SpyHunter to jest wątpliwy program z czarnej listy! On się reklamuje jako "usuwacz" danej infekcji w wysoko pozycjonowanych na Google mało wiarygodnych "opisach usuwania infekcji", tylko po to by go zainstalować, a po instalacji się okazuje że to program płatny. Infekcja nie jest przyczyną. Obecnie w systemie tylko szczątki adware, które są na innym poziomie i nie mogą powodować problemów ze startem. Natomiast co może je powodować: - Software: inwazyjne oprogramowanie zabezpieczające. Tu Ad-aware (stary z 2013, ale wygląda na świeżo instalowany), możliwe że jeszcze SandBoxie coś ma do rzeczy. Proponuję w pierwszej kolejności odinstalować całkowicie zestaw Ad-Aware Antivirus + Ad-Aware Browsing Protection + Ad-Aware Security Add-on, by się przekonać jak wtedy startuje system. - Hardware: Zasilacz to sprawa osobna, nie wiąż tego z infekcjami. Jeśli chodzi o sterowniki, to mogłeś sobie zaszkodzić ustępem optymalizacyjnym pod tytułem "Wygodne wyszukiwanie aktualnych sterowników", tzn. namieszać cudakiem DriverMax. Liczne wpisy w punktach Przywracania systemu mówiące o jego użyciu oraz linie w raportach pokazujące masowe instalacje sterowników. Takie programy automaty do aktualizacji sterowników to źródło potencjalnych kłopotów, sterowniki aktualizuje się precyzyjnie ręcznie. ==================== Restore Points ========================= 20-01-2015 23:43:14 Instalacja pakietu sterownika urządzenia: Realtek Karty sieciowe 20-01-2015 23:52:02 DMX_DriverMax Driver Installation 20-01-2015 23:54:18 Instalacja pakietu sterownika urządzenia: AMD Kontrolery IDE ATA/ATAPI 21-01-2015 22:49:16 DMX_DriverMax Driver Installation 21-01-2015 22:52:26 DMX_DriverMax Driver Installation 21-01-2015 22:53:02 Instalacja pakietu sterownika urządzenia: Intel Corporation 22-01-2015 22:59:56 DMX_DriverMax Driver Installation 22-01-2015 23:01:44 DMX_DriverMax Driver Installation 23-01-2015 20:56:49 DMX_DriverMax Driver Installation 23-01-2015 21:17:58 DMX_DriverMax Driver Installation 23-01-2015 23:14:29 DMX_DriverMax Driver Installation 25-01-2015 16:55:41 DMX_DriverMax Driver Installation 27-01-2015 21:09:53 Operacja przywracania 29-01-2015 19:31:18 SPTD setup V1.86 29-01-2015 19:57:57 Revo Uninstaller's restore point - DriverMax Kolejny kwiatek to niefunkcjonalne urządzenie sieciowe Realtek: ==================== Faulty Device Manager Devices ============= Name: Realtek PCIe GBE Family Controller Description: Realtek PCIe GBE Family Controller Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Realtek Service: RTL8168 Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Diagnostyka sprzętowa = należy założyć nowy temat w dziale Hardware podając dane obowiązujące do takiej diagnostyki: KLIK. Jeśli chodzi o czyszczenie z adware i odpadków: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX" CHR DefaultSearchKeyword: Default -> omiga-plus FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\mirra\AppData\Roaming\Mozilla\Firefox\Profiles\wi0p2q8g.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\mirra\AppData\Roaming\Mozilla\Firefox\Profiles\wi0p2q8g.default\extensions\faststartff@gmail.com CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\adawaretb\chrome-newtab-search.crx [2013-06-13] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [Not Found] GroupPolicyUsers\S-1-5-21-564767970-4186023011-380315173-1000\User: Group Policy restriction detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-564767970-4186023011-380315173-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKU\S-1-5-21-564767970-4186023011-380315173-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-564767970-4186023011-380315173-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-564767970-4186023011-380315173-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {5384B913-52FC-4B56-8482-5B4F92AE9D34} - System32\Tasks\SvcDelay => C:\Windows\temp\SvcDelay.exe Task: {6DD3AC14-94AA-47B0-8763-EAE57D273563} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {88C6A8CA-71F3-4178-B80A-19893AB30BBB} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe Task: {D56931E0-CFF4-4F9B-B864-6A271341731C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~2\AD-AWA~1\AdAwareLauncher.exe HKLM\...\Run: [] => [X] BootExecute: autocheck autochk * sdnclean64.exe S1 SBRE; No ImagePath S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] C:\ProgramData\{*}.log C:\Users\mirra\AppData\Local\{8AED41B0-2002-4217-ACEB-40285C17092B} C:\Users\mirra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\mirra\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\mirra\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\mirra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Math Problem Solver C:\Users\mirra\Downloads\*(*)-dp*.exe C:\Users\mirra\Downloads\11737-FVDSetup_sciagnij.exe C:\Windows\system32\SET*.tmp CMD: for /d %f in (C:\Users\mirra\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Flashblock trzeba będzie przeinstalować. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.