picasso

EDIT: Tak chodziło o ten najstarszy. Zbędne logi usuwam. Zadania zostały pomyślnie wykonane i problem przekierowań adware nie powinien występować. Ale tu jeszcze nie koniec operacji. Poprawki na szczątki adware oraz innych programów np. Corel wygląda na odinstalowany: 1. Pobierz ponownie FRST i zapisz na Pulpicie, obecnie uruchamiasz go z katalogu starej wersji FRST-OlderVersion. Otwórz Notatnik i wklej w nim: S3 SPBIUpdd; \??\C:\Program Files\Common Files\ShopperPro\spbiw.sys [X] BHO-x32: Framed Display 1.0.0.7 -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll No File Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - No File CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" C:\Program Files\CorelDRAW Graphics Suite X5 C:\Program Files\Max Registry Cleaner C:\Program Files (x86)\AnyProtectEx C:\Program Files (x86)\Apps Hat C:\Program Files (x86)\Framed Display C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\mbot_pl_50 C:\Program Files (x86)\PodoWeb C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\Temp C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\Corel C:\ProgramData\CorelDRAW Graphics Suite X5 C:\ProgramData\CorelDRAW Graphics Suite X7 x64 C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Max Secure C:\ProgramData\Roaming C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Corel DRAW C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CorelDRAW Graphics Suite X5 C:\Users\ocznik1986\AppData\Local\CrashRpt C:\Users\ocznik1986\AppData\Local\Doctor_PC C:\Users\ocznik1986\AppData\Local\globalUpdate C:\Users\ocznik1986\AppData\Local\Installer C:\Users\ocznik1986\AppData\Local\Max Secure Software C:\Users\ocznik1986\AppData\Local\mbot_pl_50 C:\Users\ocznik1986\AppData\Local\Pay-By-Ads C:\Users\ocznik1986\AppData\Local\WorldofTanks C:\Users\ocznik1986\AppData\LocalLow\Goobzo C:\Users\ocznik1986\AppData\LocalLow\Internet Speed Checker C:\Users\ocznik1986\AppData\LocalLow\iWebar C:\Users\ocznik1986\AppData\Roaming\Corel C:\Users\ocznik1986\AppData\Roaming\DAEMON Tools Lite C:\Users\ocznik1986\AppData\Roaming\GetRightToGo C:\Users\ocznik1986\AppData\Roaming\RHEng C:\Users\ocznik1986\AppData\Roaming\Systweak C:\Users\ocznik1986\AppData\Roaming\TornTV.com C:\Users\ocznik1986\AppData\Roaming\VOPackage C:\Users\ocznik1986\AppData\Roaming\WebApp C:\Users\ocznik1986\Documents\Corel Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt na Pulpicie. Pokaż go. 2. Uruchom AdwCleaner. Na razie wywołaj tylko opcję Szukaj, nie stosuj Usuń, i dostarcz wynikowy log z folderu C:\AdwCleaner.

Brakuje pliku fixlog.txt, który powstał podczas przetwarzania skryptu FRST. Nie uruchamiaj opcji Fix ponownie, chodzi o plik który jest już na dysku. EDIT: Dodałeś Fixlog, ale to zły plik (i na dodatek błędnie sformatowany). Uruchomiłeś skrypt dwa razy (a mówiłam, by tego nie robić)! Chodzi o log z pierwszego podejścia. Dostarcz C:\FRST\Logs\Fixlog_starsza data.txt.

ocznik1986, log na wadliwym ustawieniu (opcje "Drivers MD5" i "List BCD" nie mają być zaznaczone). I przecież nic w ogóle nie wykonałeś z zadań usuwania rozpisanych w punktach 2 do 4, które podałam. Masz wykonać wszystkie akcje podane przeze mnie. A gdy je ukończysz podajesz 4 logi: Z darmowym McAfee nie rozumiem wątku. Po co go szukasz, skoro w systemie jest Avast. Nie wolno instalować więcej niż jednego antywirusa w tym samym czasie, zamulisz system.

MBAM nie potrafi tego zlikwidować, bo to nie jest infekcja na poziomie Windows. Wartości DhcpNameServer to ustawienia DNS pobierane z routera i jest tu infekcja w routerze. Nie pomogą żadne skanery / fixy / naprawy spod Windows, jest konieczne czyszczenie innego urządzenia. Widzę, że próbując naprawiać problem stosowałaś straszny archaizm Fixwareout - to aplikacja sprzed wielu lat i służy do usuwania infekcji, która już nie występuje w przyrodzie. Czy był zamykany dostęp do panelu od strony internetu? Zmiana haseł nie wystarczy. Poza tym: czy jest jeszcze jakieś urządzenie poza routerem (modem)? Do wdrożenia następujące operacje - tylko punkt numer 1 jest związany z usuwaniem infekcji, reszta to poboczne działania: 1. Zaloguj się do routera: Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: ponownie zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj zbędny wątpliwy skaner STOPzilla. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [LManager] => [X] HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Classes\exefile: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-417449669-2771163209-2432074822-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKU\S-1-5-21-417449669-2771163209-2432074822-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-417449669-2771163209-2432074822-1002 -> {3E1EE27D-1E67-49BA-9995-5A1BA4FDB8BD} URL = Task: {864523AE-FEC3-4A2F-99EE-640EFFF4AA56} - System32\Tasks\{46792F03-8174-4687-9447-6C85D7E0A35E} => pcalua.exe -a "C:\Program Files (x86)\WildGames\uninstall.exe" -d "C:\Program Files (x86)\WildGames" S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] C:\fixwareout C:\ProgramData\cisFF22.exe C:\ProgramData\Temp C:\Users\ZOOZKA\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\724e6c6e1aea27c4\COMODO Antivirus.lnk CMD: ipconfig /flushdns Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Start GeekBuddy.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeAAMUpdater-1.0 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BtPreLoad /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ETDCtrl /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Creative Cloud" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RadioController /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tvncontrol /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v PrivDogService /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ETDCtrl /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NTRedirect /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CCleaner /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skrypt wykonany. Możesz skasować FRST oraz poczęstować się DelFix. Ponownie uruchomiony skan MBAM nie powinien wykryć nic poza pozycjami "RiskWare.Tool.CK". Jeśli jednak zaplączą się wyniki opisane jako "Backdoor.Hupigon", to już je dokasuj za pomocą MBAM.

Log wykazuje ślady infekcji CTB-Locker tworzącej losowe suffixy w zakodowanym wersjach: 2015-01-20 13:30 - 2015-01-20 13:30 - 02949174 _____ () C:\Documents and Settings\TEST\Moje dokumenty\Decrypt All Files ziwcstm.bmp 2015-01-20 13:10 - 2015-01-20 13:30 - 00977589 _____ () C:\Documents and Settings\All Users\Dane aplikacji\osjolki.html 2015-01-19 10:39 - 2015-01-20 11:44 - 00061072 _____ () C:\Documents and Settings\TEST\Pulpit\potwierdzenia zapłaty.PDF.ziwcstm Opisy infekcji: KLIK, KLIK. Przykładowy temat z forum: KLIK. Przykro mi, deszyfracja danych jest niemożliwa. - Można próbować ewentualnie softu do odzyskiwania danych, ale marne widoki. - Jest tu wprawdzie dużo punktów Przywracania systemu ze starszego okresu (grudzień 2014), ale nie wiadomo od kiedy trwa infekcja, a poza tym na systemie XP Przywracanie systemu działa w innej technice i jest liche (w Vista i nowszych to globalne cieniowanie woluminu). Nie aplikuje się ustęp z Shadow Explorer.

Jeśli chodzi o adware, logi są z poziomu limitowanego konta KR - czy na pewno to konto jest zainfekowane? Na nim mało co widać, a wpisy Krystiana są "not found" (zapewne fałszywe ze względu brak praw). Usuwanie na tym koncie może być tylko w ograniczonym zakresie (specyfika konta limitowanego). Zrób też logi z poziomu konta administracyjnego Krystian (po pełnym restarie a nie Wyloguj czy Przełącz użytkowika). ========================= Accounts: ========================== KR (S-1-5-21-622784062-384319640-2803719364-1010 - Limited - Enabled) => C:\Users\KR Krystian (S-1-5-21-622784062-384319640-2803719364-1009 - Administrator - Enabled) => C:\Users\Krystian

Te Twoje "kwiatki" to nic szczególnego: głównie odpadki adware. Obiekt RiskWare.Tool.CK punktujący C:\Windows\KMService.exe to crack Office, ekhm, do ominięcia. Bardziej kosmetyczne działania (na szczątki adware i puste / odpadkowe wpisy) tutaj niż jakieś straszne edycje: Skrypt fixlist.txt do FRST: CloseProcesses: CreateRestorePoint: R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [File not signed] S3 WINIO; \??\C:\Program Files (x86)\QMacro\hknms.sys [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Run: [] => [X] HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Policies\Explorer: [] HKU\S-1-5-21-3147454950-3773726357-3176012894-1001\...\Winlogon: [shell] explorer.exe, SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-3147454950-3773726357-3176012894-1001 -> {FF9858AD-FFBA-4360-B551-CB47AB646635} URL = FF Plugin-x32: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files (x86)\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.) C:\Program Files (x86)\Yahoo! C:\ProgramData\iqrjmdeq.fak C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WUFI® 5 C:\Users\Krzysieq\AppData\Local\Temp0canimage.jpg C:\Users\Krzysieq\AppData\Roaming\OpenCandy C:\Users\Krzysieq\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Sony PC Companion 2.1.lnk C:\Users\Krzysieq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Windows\System32\roboot64.exe C:\Windows\SysWOW64\ezSharedSvcHost.exe CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s C:\Windows\QMDispatch.dll CMD: sc config "Mobile Partner. RunOuc" start= disabled CMD: sfc /scanfile=C:\Windows\Microsoft.NET\Frameworkx86\v4.0.30319\mscorsvw.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Acrobat Assistant 8.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sony PC Companion" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Systweak /f Reg: reg delete HKCU\Software\Systweak /f EmptyTemp: Uruchom FRST i kliknij w Fix. Nastąpi restart - pokaż fixlog.txt.

Przypuszczalne metody nabycia: KLIK. A SpyHunter to jest wątpliwy program z czarnej listy! On się reklamuje jako "usuwacz" danej infekcji w wysoko pozycjonowanych na Google mało wiarygodnych "opisach usuwania infekcji", tylko po to by go zainstalować, a po instalacji się okazuje że to program płatny. Infekcja nie jest przyczyną. Obecnie w systemie tylko szczątki adware, które są na innym poziomie i nie mogą powodować problemów ze startem. Natomiast co może je powodować: - Software: inwazyjne oprogramowanie zabezpieczające. Tu Ad-aware (stary z 2013, ale wygląda na świeżo instalowany), możliwe że jeszcze SandBoxie coś ma do rzeczy. Proponuję w pierwszej kolejności odinstalować całkowicie zestaw Ad-Aware Antivirus + Ad-Aware Browsing Protection + Ad-Aware Security Add-on, by się przekonać jak wtedy startuje system. - Hardware: Zasilacz to sprawa osobna, nie wiąż tego z infekcjami. Jeśli chodzi o sterowniki, to mogłeś sobie zaszkodzić ustępem optymalizacyjnym pod tytułem "Wygodne wyszukiwanie aktualnych sterowników", tzn. namieszać cudakiem DriverMax. Liczne wpisy w punktach Przywracania systemu mówiące o jego użyciu oraz linie w raportach pokazujące masowe instalacje sterowników. Takie programy automaty do aktualizacji sterowników to źródło potencjalnych kłopotów, sterowniki aktualizuje się precyzyjnie ręcznie. ==================== Restore Points ========================= 20-01-2015 23:43:14 Instalacja pakietu sterownika urządzenia: Realtek Karty sieciowe 20-01-2015 23:52:02 DMX_DriverMax Driver Installation 20-01-2015 23:54:18 Instalacja pakietu sterownika urządzenia: AMD Kontrolery IDE ATA/ATAPI 21-01-2015 22:49:16 DMX_DriverMax Driver Installation 21-01-2015 22:52:26 DMX_DriverMax Driver Installation 21-01-2015 22:53:02 Instalacja pakietu sterownika urządzenia: Intel Corporation 22-01-2015 22:59:56 DMX_DriverMax Driver Installation 22-01-2015 23:01:44 DMX_DriverMax Driver Installation 23-01-2015 20:56:49 DMX_DriverMax Driver Installation 23-01-2015 21:17:58 DMX_DriverMax Driver Installation 23-01-2015 23:14:29 DMX_DriverMax Driver Installation 25-01-2015 16:55:41 DMX_DriverMax Driver Installation 27-01-2015 21:09:53 Operacja przywracania 29-01-2015 19:31:18 SPTD setup V1.86 29-01-2015 19:57:57 Revo Uninstaller's restore point - DriverMax Kolejny kwiatek to niefunkcjonalne urządzenie sieciowe Realtek: ==================== Faulty Device Manager Devices ============= Name: Realtek PCIe GBE Family Controller Description: Realtek PCIe GBE Family Controller Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Realtek Service: RTL8168 Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Diagnostyka sprzętowa = należy założyć nowy temat w dziale Hardware podając dane obowiązujące do takiej diagnostyki: KLIK. Jeśli chodzi o czyszczenie z adware i odpadków: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX" CHR DefaultSearchKeyword: Default -> omiga-plus FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\mirra\AppData\Roaming\Mozilla\Firefox\Profiles\wi0p2q8g.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\mirra\AppData\Roaming\Mozilla\Firefox\Profiles\wi0p2q8g.default\extensions\faststartff@gmail.com CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\adawaretb\chrome-newtab-search.crx [2013-06-13] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [Not Found] GroupPolicyUsers\S-1-5-21-564767970-4186023011-380315173-1000\User: Group Policy restriction detected HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-564767970-4186023011-380315173-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX HKU\S-1-5-21-564767970-4186023011-380315173-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-564767970-4186023011-380315173-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-564767970-4186023011-380315173-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422391891&from=cor&uid=HitachiXHTS547575A9E384_J2540054J3ZNTEJ3ZNTEX&q={searchTerms} BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-564767970-4186023011-380315173-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\mirra\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {5384B913-52FC-4B56-8482-5B4F92AE9D34} - System32\Tasks\SvcDelay => C:\Windows\temp\SvcDelay.exe Task: {6DD3AC14-94AA-47B0-8763-EAE57D273563} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Task: {88C6A8CA-71F3-4178-B80A-19893AB30BBB} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe Task: {D56931E0-CFF4-4F9B-B864-6A271341731C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => C:\PROGRA~2\AD-AWA~1\AdAwareLauncher.exe HKLM\...\Run: [] => [X] BootExecute: autocheck autochk * sdnclean64.exe S1 SBRE; No ImagePath S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] C:\ProgramData\{*}.log C:\Users\mirra\AppData\Local\{8AED41B0-2002-4217-ACEB-40285C17092B} C:\Users\mirra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\mirra\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\mirra\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\mirra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Math Problem Solver C:\Users\mirra\Downloads\*(*)-dp*.exe C:\Users\mirra\Downloads\11737-FVDSetup_sciagnij.exe C:\Windows\system32\SET*.tmp CMD: for /d %f in (C:\Users\mirra\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Flashblock trzeba będzie przeinstalować. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

1. Coś szybko jesteś z powrotem - to na pewno był pełny skan MBAM a nie szybki? Jeśli chodzi o wyniki, to tylko drobne szczątki adware - usuń za pomocą programu. 2. Na koniec skasuj pobrany FRST. Następnie zaaplikuj Delfix i wyczyść foldery Przywracania systemu: KLIK.

Teraz: 1. Nowy skrypt do FRST o postaci: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Windows\system32\config\HiveBackup Zaprezentuj wynikowy fixlog.txt. 2. Po wykonaniu skryptu zrób pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś znajdzie, zaprezentuj raport.

Za późno doedytowałam, jeszcze te obiekty z folderu Windows Defender trzeba skasować: C:\Program Files\Windows Defender\MSASCui.exe.config C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpAsDesc.dll.mui.9iz3S.aGhM6 C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpEvMsg.dll.mui.fSRV1.5269q C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MsMpRes.dll.mui.yv8.x65m Zrób nowy skrypt do FRST i pokaż log wynikowy. Wielkie dzięki!

Zmieniłeś kolejność, McAfee był deinstalowany dopiero po przetworzeniu skryptu. Kolejność instrukcji jest ścisła (tu: deinstalacja miała być przed komendą czyszczenia Tempów). Wszystko pomyślnie usunięte, ale to nie koniec działań. Brontok tworzy w ogromnej ilości katalogów falsyfikaty, tzn. pliki EXE o nazwie jak katalog w którym siedzą, a przypadkowe uruchomienie takiego pliku zainfekuje ponownie system. Logi już tu nie pomogą, bo są zbyt ograniczone, potrzebny pełny skan za pomocą programu który wykrywa takie pliki. Kolejna porcja działań: 1. Będąc zalogowanym na koncie dom. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1880997745-2878968255-1170384601-1003\...\Run: [Tok-Cirrhatus] => "C:\Users\dom\AppData\Local\smss.exe" RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Temp RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Windows\system32\%LOCALAPPDATA% Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Dopiero po wykonaniu powyższego działania zainstaluj ponownie Malwarebytes Anti-Malware. Zrób pełny skan (a nie ekspresowy) komputera. MBAM wykrywa fslsyfikaty Brontok pod nazwą kodową Trojan.Dropper. Jeśli program coś znajdzie, dostarcz raport.

Fix wykonany, napęd CD powinien już działać, ale potwierdź to. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. W mojej sygnaturze jest link do publicznych danych. Dzięki!

DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt oraz GMER (o ile nadal jest gdzieś). Temat rozwiązany. Zamykam.

Wszystko zrobione. W zakresie czyszczenia systemu prawie kończymy. Nie zwróciłam uwagi, że po usunięciu niezgodnego sterownika pfc.sys padł napęd: ==================== Faulty Device Manager Devices ============= Name: HL-DT-ST DVDRAM GH22NS70 ATA Device Description: Stacja dysków CD-ROM Class Guid: {4d36e965-e325-11ce-bfc1-08002be10318} Manufacturer: (Standardowe stacje dysków CD-ROM) Service: cdrom Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. To zapewne jest wynik filtrów pfc.sys na urządzeniach. Korekta. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v LowerFilters /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Poaż wynikowy fixlog.txt. vs. Jeśli poprawa nie jest aż tak znaczna, to niestety pakiet zabezpieczający może być problemem. Obecnie pakiety zabezpieczające to gęsta siatka usług / sterowników.

Fix FRST wykonany. AdwCleaner wykrył dużo śmieci adware. Kolejna porcja czynności: 1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\user\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\user\Desktop\MicrosoftFixit50688.msi CMD: del /q C:\Users\user\Downloads\f7g3m7w6.exe CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Poprawki pod kątem adware i odpadków: 1. Otwórz Notatnik i wklej w nim: BHO: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho64.dll (Object Browser) BHO-x32: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho.dll (Object Browser) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] C:\Program Files (x86)\Sense C:\Program Files (x86)\Spybot - Search & Destroy C:\ProgramData\Spybot - Search & Destroy DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Sense Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i zaprezentuj log z folderu C:\AdwCleaner.

Ale to stara dziurawa wersja Opera 12.16. Jest nowsza wydana w 2014 Opera 12.17 na silniku Presto a nie Blink, która zawiera łatę na krytyczną lukę Heartbleed. Link w przyklejonym: KLIK. Zadania wykonane. Poprawki pod kątem odpadkowych folderów. Otwórz Notatnik i wklej w nim: C:\Program Files\F-Secure Internet Security C:\Program Files\Farbrka Gier Onet C:\Program Files\Gadu-Gadu 10 C:\Program Files\GUM1678.tmp C:\Program Files\Java C:\Program Files\Temp C:\ProgramData\Freemake C:\ProgramData\fssg C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\InstallMate C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\RegCure C:\ProgramData\Sun C:\ProgramData\Symantec C:\Users\Właściciel\AppData\Local\cache C:\Users\Właściciel\AppData\Local\WindowsUpdate C:\Users\Właściciel\AppData\LocalLow\BrotherSoft_Extreme C:\Users\Właściciel\AppData\LocalLow\Sun C:\Users\Właściciel\AppData\LocalLow\Temp C:\Users\Właściciel\AppData\Roaming\dclogs C:\Users\Właściciel\AppData\Roaming\FlashGet C:\Users\Właściciel\AppData\Roaming\Gadu-Gadu 10 C:\Users\Właściciel\AppData\Roaming\GetRightToGo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. EDIT: Zapomniałam dodać te śmieci z katalogu Windows Defender. To w nasępnym poście.

DelFix wykonał robotę. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

OTL to przestarzały program i nie jest tu brany pod uwagę. Proszę dostosuj się do zasad działu i dostarcz obowiązujące tu logi: KLIK. A tytuł tematu dostosowuję do problemu zasadniczego. EDIT: Logi dodane. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj zbędnik sponsoringowy McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\bronstab.exe [42065 2006-06-20] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [x ] () HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Kasia\AppData\Local\smss.exe [42065 2006-06-20] () HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\Empty.pif () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Users\dom\AppData\Local\*.bat C:\Users\dom\AppData\Local\*.bin C:\Users\dom\AppData\Local\*.exe C:\Users\dom\AppData\Local\*.txt C:\Users\dom\Documents\Documents.exe C:\Users\Kasia\AppData\Local\*.bat C:\Users\Kasia\AppData\Local\*.bin C:\Users\Kasia\AppData\Local\*.exe C:\Users\Kasia\AppData\Local\*.txt C:\Users\Kasia\Desktop\kasku\programy\*.lnk C:\Users\Kasia\Documents\Documents.exe C:\Windows\eksplorasi.exe C:\Windows\ShellNew\bronstab.exe C:\Windows\system32\dom's Setting.scr C:\Windows\system32\Kasia's Setting.scr CMD: for /d %f in (C:\Users\dom\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Kasia\AppData\Local\*Bron*) do rd /s /q "%f" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta dom i Kasia. Oba są zainfekowane - wstępnie czyszczone skryptem FRST, ale to nie wystarczy. Wymagane logi z każdego konta z osobna. Logujesz się po kolei na każde poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały po dwa logi). Dołącz też plik fixlog.txt.

W systemie są obiekty adware - a wpływ na długi start Windows może mieć odpadkowy sterownik wStLib64 - jest to wysoce problematyczny obiekt z grupy adware Sambreel, może powodować problemy ze startem Windows oraz działaniem internetu. Ale wcale nie musi być to przyczyna długiego wczytywania Windows, równie dobrze problem może tworzyć bardzo rozbudowany i inwazyjny pakiet Avast Premier. Póki co, będę usuwać szczątki adware, rekonfigurować niektóre usługi Windows (tryb Ręczny zamiast Auto) oraz adresować też te błędy z Dziennika zdarzeń: Application errors: ================== Error: (01/29/2015 04:15:30 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Error: (01/29/2015 01:43:00 AM) (Source: MsiInstaller) (EventID: 11316) (User: ZARZĄDZANIE NT) Description: Product: Google Update Helper -- Error 1316. Określone konto już istnieje. System errors: ============= Error: (01/29/2015 04:14:50 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\pfc.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, Sense, Update_for_BonanzaDeals oraz przestarzały Spybot - Search & Destroy. Jeśli jakieś wpisy nie będą widoczne lub nie będą dały się odinstalować, nie szkodzi, kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wStLib64; C:\Windows\System32\drivers\wStLib64.sys [61120 2014-04-23] (StdLib) S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [9856 2012-01-23] (Padus, Inc.) [File not signed] S3 MSICDSetup; \??\E:\CDriver64.sys [X] ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File CustomCLSID: HKU\S-1-5-21-3017187921-1793405025-1133042684-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\user\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File Task: {2494FFA9-AA52-441B-AD78-20DB48F80F94} - System32\Tasks\{0B80D1CC-9FEF-4950-80AE-AA526DE04C2D} => Firefox.exe http://ui.skype.com/ui/0/5.5.0.124.259/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=12007&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {376B1C9A-B922-407C-9477-207FA811552D} - System32\Tasks\{9A087C6C-6323-4476-B2A6-45E105FC527C} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fromcontrolpanel=1 Task: {6B6095B9-1E27-4AF6-800D-252250D38ABA} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-05-02] (Google Inc.) Task: {789B5B86-C6D2-4553-8800-2E369A1D0499} - System32\Tasks\{426E5C90-584F-4CC2-ABBC-B2A1A1C39449} => pcalua.exe -a C:\Users\user\Desktop\l3codecx.exe -d C:\Users\user\Desktop Task: {97150842-6A18-400E-9932-CBBE296908E2} - System32\Tasks\{5D1EAD23-C157-44A8-985A-EC065628FFB2} => Firefox.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: {AB9B71AA-7A0E-48CA-80C1-DCD1E470DD01} - System32\Tasks\Sense-enabler => C:\Program Files (x86)\Sense\Sense-enabler.exe [2014-02-26] (Object Browser) Task: {B6D789C0-4767-4933-9776-C412A0DACE14} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-05-02] (Google Inc.) Task: {FF68E047-06C1-420D-8BED-B7DFAE85EE94} - System32\Tasks\{B828FEC2-E17B-40B8-9793-1FA7C996A0C3} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Sense-enabler.job => C:\Program Files (x86)\Sense\Sense-enabler.exe FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = SearchScopes: HKU\S-1-5-21-3017187921-1793405025-1133042684-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-3017187921-1793405025-1133042684-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dee2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall C:\ProgramData\Temp C:\Users\user\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\user\AppData\Roaming\regsvr32.exe_log.txt C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MX Skype Recorder C:\Windows\System32\drivers\wStLib64.sys C:\Windows\SysWOW64\drivers\pfc.sys CMD: sc config c2cautoupdatesvc start= demand CMD: sc config c2cpnrsvc start= demand CMD: sc config NvNetworkService start= demand CMD: sc config NvStreamSvc start= demand CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenie WOT trzeba będzie przeinstaowa. 4. Uruchom narzędzie Fix it korygujące błąd WMI numer 10: KLIK. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, Shortcut już nie jest potrzebny). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Na koniec: 1. Usuń używane narzędzia logów z folderu D:\Programy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

OK. Końcowe poprawki: 1. Zresetuj cache wtyczek Google Chrome, by pozbyć się pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: U4 srservice; No ImagePath DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Pokaż wynikowy fixlog.txt. 3. Dopiero po przeprowadzeniu powyższego zrób pełny skan za pomocą Malwarebytes Anti-Malware. W przypadku wykrycia czegoś dostarcz raport z wynikami.