picasso

Potwierdzam wykonanie zadania. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Czy próbowałeś TestDisk? Czy są jakieś wyniki z przywracaniem poprzedniego układu i danych?

"Fun Dial" było, ale już go nie widać. Natomiast "inoeonmfapjbbkmdafoankkfajkcphgd" widziałam w logu i myśląc, że to niewidoczny na liście rozszerzeń odpadek (nazwa nie jest interpretowana, pokazywane ID rozszerzenia jako nazwa) załączyłam w skrypcie FRST. Twój opis definitywnie wskazuje, że nie był to jednak szczątek tylko pełne rozszerzenie. Usunięcie folderu z dysku nie usuwa wpisu rozszerzenia z listy zainstalowanych. To mamy z głowy. Wszystko zrobione. Idziemy dalej. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [] => [X] BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\24602589.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\24602589.sys => ""="Driver" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\IsoBuster w sieci.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Zamów teraz.lnk C:\Users\Public\Documents\GOOBZO CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. Zaprezentuj go.

krystiankash, brak danych, zasady działu co jest tu obowiązkowe (raporty): KLIK. Uzupełnij dane.

Ale mój Boże ... Co Ty mi podajesz! Pobrałeś jakiś lewy program DoctorPC. Ty masz pobrać FRST. Wszystko przecież z obrazkami opisane w przyklejonym: KLIK. Na obrazkach widać jak program wygląda, jakie pliki tworzy. Raporty mają zostać doczepione w postaci załączników a nie wklejane w poście.

Oba tematy łączę. adela, są tu dwa zagadnienia: 1. Zaszyfrowane dane. Pełny opis infekcji tu: KLIK. Już wszystko zostało powiedziane na ten temat. Bardzo mi przykro, ale nic nie da się zrobić więcej w zakresie odzysku danych. Z raportów wiadomo, że infekcja wyczyściła na zero magazyn kopii cieniowych (brak jakichkolwiek punktów Przywracania systemu) i że jest tu najnowsza wersja CTB-Locker, która tworzy losowe suffiksy. W Twoim przypadku są to *.vzrufdd. 2015-01-01 23:23 - 2015-01-01 23:23 - 00002112 _____ () C:\Users\Serge_2\Downloads\Oryginalna nazwa pliku.TXT.vzrufdd Prawdopodobnie pełna lista zaszyfrowanych plików jest w tym pliku HTML: 2015-01-19 20:30 - 2015-01-19 20:35 - 0543439 _____ () C:\ProgramData\jcmvxcc.html 2. Obiekty infekcji per se. Zaprezentuj plik C:\ComboFix.txt, który przedstawi co program usuwał. Mówisz że "na monitorze zostało" - w raportach FRST nie widać zastąpienia tapety, lecz FRST po prostu nie skanuje ustawień związanych z aktywną zawartością Pulpitu i tapetą. Poproszę o dodatkowe skany pod tym kątem: Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Brak jakichkolwiek oznak infekcji. Do korekty będą tylko odpadkowe wpisy, ale to potem. Na początek chcę się upewnić co widzisz: Czy to na pewno dobry zrzut ekranu pokazujący ową "ikonkę"? Ten szary obiekt tu pokazany: ....wygląda jak fragment okna COMODO, a konkretnie "przycięta" pierwsza litera "C" nazwy: KLIK. Jeśli to ikona COMODO, jej pojawianie się z kilkuminutowym opóżnieniem również byłoby wyjaśnione = długie ładowanie COMODO. I ogólnie COMODO może być przyczyną obciążenia zasobów.

Przecież na dysku jest plik raportu: 2015-01-02 20:18 - 2015-01-02 20:19 - 00000000 ___SD () C:\ComboFix 2015-01-02 20:02 - 2015-01-02 20:02 - 00138046 _____ () C:\ComboFix.txt Chodzi o dostarczenie już obecnego pliku C:\ComboFix.txt. Nie interesuje Cię folder C:\ComboFix.

martapia, zasady działu: KLIK. Każdy ma mieć osobny topik, Twój post wydzialam w osobny temat. Jeśli chodzi o pobieranie FRST, Avast blokuje i jest to fałszywy alarm. Proszę na czas pobierania i pracy z FRST wyłącz osłonę WWW Avast.

Rootkit pomyślnie usunięty. Przechodzimy do usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2015-01-04] (XTab system) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2015-01-14] (GOOBZO) HKLM-x32\...\Run: [smart File Advisor] => C:\Program Files (x86)\Smart File Advisor\sfa.exe [280824 2011-04-04] (Filefacts.net) HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [GoobzoYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2015-01-14] (GOOBZO) HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [YpPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\admin\AppData\Local\Ozics\EP0NOE12.DLL HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [Eltion] => regsvr32.exe C:\Users\admin\AppData\Local\Eltion\CNHL08A.dll HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\admin\AppData\Local\PriceFountain\PriceFountainIE.dll No File BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll (Goobzo Ltd.) Task: {0C9CE307-51C4-464D-8FD6-0CCB436996E3} - System32\Tasks\YTAUpdate => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {1047211C-5FE9-481E-98B4-9DE650703E7B} - System32\Tasks\Price Fountain => C:\Users\admin\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-01-14] () Task: {132A5AB7-E187-4EBF-A5FE-6DA2355D2F38} - System32\Tasks\AdobeFlashPlayerUpdate => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {1F45BDFA-213D-4E5A-8E6F-434A1FD950AA} - System32\Tasks\DSite => C:\Users\admin\AppData\Roaming\DSite\UpdateProc\updatetask.exe [2014-01-14] () Task: {37F30370-B076-4B56-B878-84485F70F2D1} - System32\Tasks\EPUpdater => C:\Users\admin\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-04-07] () Task: {49CCC7BC-996A-4A99-BE8B-3148630467BB} - System32\Tasks\YTAUpdate_logon => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {6F072A49-9EF7-4875-BC2F-85EFE2E38976} - System32\Tasks\{402429A3-AD80-47F2-B019-FD4EA2A104D0} => pcalua.exe -a C:\Users\admin\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {7F8ABB9C-5D6F-4D2E-834B-0E9F930E4018} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {C43A4654-5150-429B-9772-2670BDC719FE} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe [2014-06-15] (Goobzo LTD) Task: {D9E57034-BE63-4D26-ADBE-29EFDEBF4C1D} - System32\Tasks\Digital Sites => C:\Users\admin\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {FE6BB7F9-A821-4A5E-A9CA-195F39DE7E55} - System32\Tasks\{64B1E721-462F-4A10-972F-D71B77213CCD} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: C:\windows\Tasks\Digital Sites.job => C:\Users\admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\Price Fountain.job => C:\Users\admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS" CHR DefaultSearchKeyword: Default -> omiga-plus CHR HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - C:\Users\admin\AppData\Local\newhb2.crx [2013-10-23] CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\admin\AppData\Roaming\BabSolution\CR\BabylonChrome1.crx [Not Found] CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Program Files\Enigma Software Group C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\GUT3BD8.tmp C:\Program Files (x86)\XTab C:\ProgramData\AVG C:\ProgramData\IHProtectUpDate C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\admin\AppData\Local\Avg C:\Users\admin\AppData\Local\CrashDumps C:\Users\admin\AppData\Local\CrashRpt C:\Users\admin\AppData\Local\Eltion C:\Users\admin\AppData\Local\globalUpdate C:\Users\admin\AppData\Local\Ozics C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Roaming\BabMaint.exe C:\Users\admin\AppData\Roaming\AVG C:\Users\admin\AppData\Roaming\BabSolution C:\Users\admin\AppData\Roaming\omiga-plus C:\Users\admin\AppData\Roaming\OpenCandy C:\Users\admin\AppData\Roaming\PriceFountain C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Public\Documents\GOOBZO C:\Windows\Installer\{B13EA808-3A8F-8E31-3851-661E1839DC64} C:\Windows\System32\Drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI CMD: for /d %f in (C:\Users\admin\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\omiga-plus uninstall" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: Babylon Chrome Toolbar, Smart File Advisor 1.1.1, Update for Video Converter, Video Converter Packages, YouTube Accelerator. - Stare wersje: Adobe Flash Player 11 ActiveX, Adobe Reader X (10.1.13) MUI, Java™ 6 Update 20 W przypadku błędów kontynuuj z dalszymi pozycjami. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Fun Dial. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dołącz też plik fixlog.txt. Poproszę również o zrzuty ekranu z następującego miejsca Internet Explorer: Opcje Internetowe > Programy > Zarządzaj dodatkami > Paski narzędzi i rozszerzenia.

Wszystko zrobione. W zakresie czyszczenia finiszujemy. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" HKLM-x32\...\Run: [EaseUS EPM tray] => C:\Program Files (x86)\EaseUS\EaseUS Partition Master 10.2\bin\EpmNews.exe CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-08] C:\Program Files (x86)\EaseUS C:\Users\Public\Pokki C:\Users\Przemek\AppData\Local\Pokki C:\WINDOWS\system32\VisualDiscoveryOff.ini C:\WINDOWS\SysWOW64\VisualDiscovery.ini C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log z folderu C:\AdwCleaner. Czy sprawdzałeś najprostszy trik, tzn. prawoklik na Pulpit > Odśwież w menu kontektowym?

Brakuje pliku FRST Shortcut. Obiektów adware jest tu spora ilość. Ale spowolnienie może być z innej przyczyny, np. z winy antywirusa. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: FoxTab FLV Player, FoxTab Music Converter, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO plugin 1.3, PDF Writer Packages, RewardsArcade, Update for PDF Writer, weBsave, YoutubeAdblocker. - Stare wersje (w tym crackowane) i zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, AVG 2014, AVG PC TuneUp 10.0.0.27 PreCracked, AVG SafeGuard toolbar, Java 7 Update 71, Java™ 6 Update 35. - Zintegrowane firmowe aplikacje (jeśli nie korzystasz): Acer GameZone Console (i wszystkie gry Oberon), Acer Registration, Acer Updater, CyberLink PowerDVD 9, Identity Card, MyWinLocker Suite, Norton Online Backup. 2. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=B6054C0F6E10A720&affID=119357&tt=080913_ctrl&tsp=5000 HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5736z&r=27361110f235l0424z155v47524269 HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKLM-x32 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=050f35f6-dd55-11e1-88a8-88ae1d8148e0&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=B6054C0F6E10A720&affID=119357&tt=080913_ctrl&tsp=5000 SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {6FC41EDD-4B02-4442-AA2B-B635C036EFAA} URL = http://www.bing.com/search?FORM=WLETDF&PC=WLEM&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {AE0883A7-7BCD-4BCE-A0D4-F06B92B62D40} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=EA2EB7E7-163D-474D-89C6-80D2D89736C0&apn_sauid=9CBB111D-F6A6-49BA-8435-F866CD561E14 SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} BHO-x32: MediaBar -> {0974BA1E-64EC-11DE-B2A5-E43756D89593} -> C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll No File BHO-x32: RewardsArcade -> {597A9974-8CB0-4f41-B61F-ED065738A397} -> C:\Program Files (x86)\RewardsArcade\RewardsArcade.dll (215 Apps) BHO-x32: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll No File BHO-x32: SweetPacks Browser Helper -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll No File Toolbar: HKLM-x32 - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [crossriderapp498@crossrider.com] - C:\Users\Karolina\AppData\Local\RewardsArcade\498\Firefox FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799 CHR HKLM\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKU\S-1-5-21-905848300-39378253-2338670776-1000\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [Not Found] CHR HKU\S-1-5-21-905848300-39378253-2338670776-1000\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKLM-x32\...\Chrome\Extension: [dcmagccbogebndpoodhhhafmofelpffh] - C:\Users\Karolina\AppData\Local\RewardsArcade\498\Chrome\rewardsarcade.crx [2011-11-04] CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-06-14] CHR HKLM-x32\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [2011-10-27] Task: {0CCA079F-1668-41BB-B8C9-30E9B395400F} - System32\Tasks\{46797E31-69B5-4EEE-8AB7-E7A250FCA824} => C:\Users\Karolina\Downloads\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe Task: {3F04A133-AB9C-4D28-BF12-A244AE1C3626} - System32\Tasks\{B18BF057-A4BC-4512-97A2-CB3306BAE6AB} => C:\Users\Karolina\Downloads\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe Task: {44123C41-5CE7-4687-91D2-6A0942312E47} - System32\Tasks\DealPly => C:\Users\Karolina\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {8FE1B1C3-5297-424C-9BDD-29E0A74A7DA1} - System32\Tasks\{2BB855C5-D278-4C41-A04D-5A794105E36A} => pcalua.exe -a "C:\Users\Karolina\Desktop\z kompa\upc_webstar_2000_series_usb_drvrs_v.3.2.3222\UNDPX2K.EXE" -d "C:\Users\Karolina\Desktop\z kompa\upc_webstar_2000_series_usb_drvrs_v.3.2.3222" Task: {C59DBBD7-9AA4-4271-B186-B3804E0CE99F} - System32\Tasks\DSite => C:\Users\Karolina\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {F84ABE94-6118-480C-8C2C-A6E84BE4EEF7} - \DealPlyUpdate No Task File Task: C:\Windows\Tasks\DSite.job => C:\Users\Karolina\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE S3 UNDPR3K; \??\C:\Windows\system32\drivers\UNDPR3K.SYS [X] S3 UNDPX2A; \??\C:\Windows\system32\drivers\UNDPX2A.SYS [X] S3 UNDPX2K; \??\C:\Windows\system32\drivers\UNDPX2K.SYS [X] C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\Program Files (x86)\RewardsArcade C:\Program Files (x86)\StartSearch plugin C:\ProgramData\whlb32g.dll C:\ProgramData\Temp C:\Users\Karolina\AppData\Local\{*} C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Karolina\AppData\Local\RewardsArcade C:\Users\Karolina\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\Karolina\AppData\Roaming\AVG C:\Users\Karolina\AppData\Roaming\Babylon C:\Users\Karolina\AppData\Roaming\DealPly C:\Users\Karolina\AppData\Roaming\DigitalSites C:\Users\Karolina\AppData\Roaming\DSite C:\Users\Karolina\AppData\Roaming\Gadu-Gadu 10 C:\Users\Karolina\AppData\Roaming\OpenCandy C:\Users\Karolina\AppData\Roaming\OpenFM C:\Users\Karolina\AppData\Roaming\PerformerSoft C:\Users\Karolina\AppData\Roaming\Tlen.pl Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Karolina\AppData\Local CMD: dir /a C:\Users\Karolina\AppData\LocalLow CMD: dir /a C:\Users\Karolina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome ze śmieci: Ustawienia > karta Rozszerzenia > odinstaluj avast! WebRep, AVG SafeGuard, BargainJoy, LiveVDO plugin, RewardsArcade, SweetIM for Facebook (części może nie być po w/w deinstalacjach). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Oznak czynnej infekcji brak, temat przenoszę do działu Windows. GMER niewiarygodny, robiony przy aktywnym sterowniku DAEMON Tools: R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2014-05-04] (Disc Soft Ltd) Jeśli chodzi o Google Chrome, to w raporcie FRST widać tylko jakieś podejrzane blokady na poziomie Zasad grup, które będę usuwać. Dodatkowo możesz sprawdzić czy coś da odfajkowanie następującej opcji w Chrome: Ustawienia > Pokaż ustawienia zaawansowane > Prywatność > Przewiduj działania w sieci, aby przyśpieszyć ładowanie stron. Druga sprawa: masa obiektów w standardowych lokalizacjach ma atrybut C (Compressed). Przykładowy odczyt, ale większość w wycinkowym raporcie jest tak zaprawiona (w tym katalog Chrome): 2015-01-17 21:28 - 2013-05-17 19:20 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\uTorrent 2015-01-17 21:24 - 2014-04-28 18:35 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\IObit 2015-01-17 21:19 - 2014-04-28 18:36 - 00000000 ___DC () C:\ProgramData\ProductData 2015-01-17 21:07 - 2014-11-19 14:40 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\ViberPC 2015-01-17 21:06 - 2014-11-19 14:38 - 00000000 ___DC () C:\Users\SDRG\AppData\Local\Viber 2015-01-17 21:05 - 2009-07-14 06:08 - 00000006 ___HC () C:\Windows\Tasks\SA.DAT 2015-01-17 20:24 - 2009-07-14 05:45 - 00010336 ___HC () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2015-01-17 20:24 - 2009-07-14 05:45 - 00010336 ___HC () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Czy aby przypadkiem nie skompresowałeś całego dysku / globalnie istotnych lokalizacji? Kompresja globalna dysku systemowego może spowodować dłuższy dostęp do obiektów. Nie powinno się jej robić na komponentach aktywnych... Nie polecam żadnych produktów IObit ze względu na mętną reputację producenta. Grzechy na sumieniu: kradzież bazy MBAM w przeszłości, adware w instalatorach, podejrzane związki partnerskie. Więcej: KLIK. Na razie usuń polityki Google oraz przy okazji inne puste wpisy. Wątpię, by były jakieś zmiany. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-2151658333-1173139235-3204586576-1001] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll No File Task: {B4C00ED3-8E10-4F64-8808-0F8A6E221ECA} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe S2 HPSLPSVC; C:\Users\SDRG\AppData\Local\Temp\7zS1AF7\hpslpsvc64.dll [X] S3 WinRing0_1_2_0; No ImagePath S3 xhunter1; No ImagePath S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 clwvd6; system32\DRIVERS\clwvd6.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\11306245.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\11306245.sys => ""="Driver" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.

Log z FRST Addition jest urwany. Nadal nie dostarczyłeś trzeciego pliku FRST Shortcut. Zastosowanie ComboFix było tu zupełnie zbędne. Temat pod właściwszym tytułem przenoszę do działu Windows. Brak oznak infekcji. Podanie logów bez opisu problemu jest niepełnym zadaniem, gdyż logi są baaaardzo ograniczone do określonych aspektów. Opis pomaga koncentrować uwagę na określonych rzeczach i skierować do diagnostyki zupełniew innego rodzaju niż "logi". Pierwszy podejrzany to inwazyjny majdan McAfee Total Protection + McAfee SiteAdvisor. Na próbę odinstaluj oba programy i sprawdź czy ma to jakieś pozytywne skutki. Druga sprawa, sprawdź czy system możesz zaktualizować do wersji Windows 8.1: KLIK. Platform: Windows 8 (X64) OS Language: Polski (Polska) Internet Explorer Version 10 (Default browser: IE) Folder C:\RecoveryLog wygląda na związany z procesem Recovery producenta. Otwórz pliki tekstowe zlokalizowane w tym folderze i przeklej co w nich jest. Nie ma żadnych raportów z owych laptopów, więc nie można stwierdzić jakie są cechy wspólne i porównać z tu widzianym systemem.

Są tu owszem szczątki adware (w tle uruchomiony proces WindowsMangerProtect), ale mam wątpliwości czy to powiązane z opisywanym problemem. Niemniej usuń i zobaczymy co to da. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-17] (SysTool PasSame LIMITED) [File not signed] S1 ccnfd_1_10_0_6; system32\drivers\ccnfd_1_10_0_6.sys [X] S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X] CHR StartupUrls: Default -> "hxxp://myhome.vi-view.com/?type=hp&ts=1421534747&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com/web/?type=ds&ts=1421534747&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com/web/?type=ds&ts=1421534747&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-806157391-4031164684-680537714-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-806157391-4031164684-680537714-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-806157391-4031164684-680537714-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://myhome.vi-view.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&ts=1421534795&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://myhome.vi-view.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&ts=1421534795&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://myhome.vi-view.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500DM002-1BD142_Z3TRA7MMXXXXZ3TRA7MM&ts=1421534795&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-806157391-4031164684-680537714-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Robert\AppData\Roaming\vi-view C:\Users\Robert\Documents\PC Speed Maximizer EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz zmiany.

Nie odpowiedziałeś mi na pytanie:

Zero danych. Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi: KLIK.

Z adware postępuje się w następujący sposób: - najpierw sprawdzasz listę zainstalowanych programów i deinstalujesz podejrzane / nieznane / świeżo dodane programy - następnie sprawdzasz menedżery rozszerzeń i ustawienia przeglądarek pod tym samym kątem - na końcu skany automatyczne (AdwCleaner, MBAM i antywirusy) vs. W tym samym Fixie FRST wydrukowałam zawartość raportu z usuwania właściwego (wszystko już jest wiadome) oraz skasowałam z dysku folder AdwCleaner. Wszystko zrobione. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W systemie jest malware udające "sprawdzanie kompatybilności". Obiekt generuje liczne błędy w Dzienniku zdarzeń. R2 Verifies and fixes application compatibility issues; C:\Users\User\AppData\Roaming\Compatibility Verifier\compatibilitychecksvc.exe [87208 2014-12-31] () Application errors: ================== Error: (01/15/2015 06:09:38 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: compatibilitycheck.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x54a77347 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eeb460 Kod wyjątku: 0x40010006 Przesunięcie błędu: 0x00012f71 Identyfikator procesu powodującego błąd: 0x858 Godzina uruchomienia aplikacji powodującej błąd: 0xcompatibilitycheck.exe0 Ścieżka aplikacji powodującej błąd: compatibilitycheck.exe1 Ścieżka modułu powodującego błąd: compatibilitycheck.exe2 Identyfikator raportu: compatibilitycheck.exe3 Pełna nazwa pakietu powodującego błąd: compatibilitycheck.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: compatibilitycheck.exe5 Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Verifies and fixes application compatibility issues; C:\Users\User\AppData\Roaming\Compatibility Verifier\compatibilitychecksvc.exe [87208 2014-12-31] () HKLM-x32\...\Run: [mbot_gb_145] => [X] HKU\S-1-5-21-2861025251-1746614414-2761470792-1001\...\RunOnce: [Adobe Speed Launcher] => 1421339581 HKU\S-1-5-21-2861025251-1746614414-2761470792-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:56892;https=127.0.0.1:56892 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKU\S-1-5-21-2861025251-1746614414-2761470792-1001 -> No Name - {4B4D5056-372D-5350-00A7-7A786E7484D7} - No File C:\Program Files\C76D26E8-6482-46EB-9CFD-364D4E20F8C1 C:\ProgramData\Informer Technologies, Inc C:\Users\User\AppData\Local\CrashDumps C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Roaming\Compatibility Verifier C:\Users\User\Desktop\Continue installation .lnk C:\Users\User\Downloads\*(*)-dp*.exe C:\Users\User\Downloads\Setup*.exe C:\Users\User\Downloads\siinst.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs - to jest archiwum. Bieżący log jest zawsze tam skąd uruchamiano proram. Tu problem w tym, że był startowany z tymczasowych plików Opery: Running from C:\Users\ANDRZEJ\AppData\Local\Opera\Opera\temporary_downloads W systemie jest niewiarygodny śmietnik. Sprawa główna to katastrofa z ilością sterowników oprogramowania zabezpieczającego: ArcaBit, Norton, McAfee. Na dodatek wątpliwy YAC - to nie jest wiarygodny program, podejrzane zachowania. Skomasowanie sterowników to prawdopodobna przyczyna problemów. Oprócz tego jest i adware. Działania wstępne: AKCJE Z POZIOMU TRYBU AWARYJNEGO: 1. Zastosuj McAfee Consumer Products Removal tool. 2. Pobierz FRST ponownie i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: DisableService: BHDrvx86 DisableService: eeCtrl DisableService: EraserUtilRebootDrv DisableService: IDSVix86 DisableService: iSafeKrnl DisableService: iSafeKrnlBoot DisableService: iSafeKrnlKit DisableService: iSafeKrnlMon DisableService: iSafeKrnlR3 DisableService: iSafeNetFilter DisableService: iSafeService DisableService: N360 DisableService: NAVENG DisableService: NAVEX15 DisableService: SRTSP DisableService: SRTSPX DisableService: SymDS DisableService: SymEFA DisableService: SymEvent DisableService: SymIRON DisableService: SymNetS R1 {ed7eb956-75ed-460d-8f69-29a93b07afd1}w; C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w.sys [52928 2014-07-10] (StdLib) S2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S2 wpennybeed; C:\ProgramData\pennybee\wpennybeed.exe [240128 2014-06-24] (Penny Bee Agent) [File not signed] S1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw; system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw.sys [X] S3 cpuz136; \??\C:\Users\ANDRZEJ\AppData\Local\Temp\cpuz136\cpuz136_x32.sys [X] Task: {0813F08A-30A3-4F6B-875C-33FCEC719F58} - System32\Tasks\{16B5C9B9-89A8-48E0-B288-F424EBAC23BC} => pcalua.exe -a "C:\Program Files\TheTorntv V10\Uninstall.exe" -c /fcp=1 Task: {1F767064-852D-4793-821B-0F4ADA8D16C8} - System32\Tasks\DealPly => C:\Users\ANDRZEJ\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {29EAAB03-E478-4280-A2F1-AFC6B5263302} - System32\Tasks\QtraxPlayer => 213371845.portal.qtrax.com Task: {61B04136-B7C7-457F-B96F-C238D6D7505F} - System32\Tasks\pennybee Runner => C:\PROGRA~2\pennybee\pennybee.exe Task: {64FCD040-5772-42B1-A252-E44C92D4A531} - System32\Tasks\Lyrmix Update => C:\Program Files\Lyrmix\LymxUD.exe Task: {DC779507-6C50-4876-90AF-29F0265125F7} - System32\Tasks\{29201961-1463-40B3-A394-0C3925B5A7CD} => pcalua.exe -a "C:\Program Files\PDF Complete\uninstall.exe" Task: {E6EF3F37-5AA1-4629-85BC-58B78BA12FD1} - System32\Tasks\Symantec\Norton Error Processor 5.2.2.3 => C:\Program Files\Norton 360\Engine\5.2.2.3\SymErr.exe [2012-06-08] (Symantec Corporation) Task: {F50B8551-940F-48FE-9D88-926AA915298E} - System32\Tasks\Symantec\Norton Error Analyzer 5.2.2.3 => C:\Program Files\Norton 360\Engine\5.2.2.3\SymErr.exe [2012-06-08] (Symantec Corporation) Task: {FF339E23-DDEE-437B-ACBE-36C0FE7834C5} - System32\Tasks\Tempo Runner => C:\PROGRA~2\pennybee\pennybee.exe Task: C:\Windows\Tasks\Lyrmix Update.job => C:\Program Files\Lyrmix\LymxUD.exe Task: C:\Windows\Tasks\pennybee Runner.job => C:\PROGRA~2\pennybee\pennybee.exe Task: C:\Windows\Tasks\Tempo Runner.job => C:\PROGRA~2\pennybee\pennybee.exe HKLM\...\Run: [NortonOnlineBackupReminder] => C:\Program Files\Symantec\Norton Online Backup\Activation\NobuActivation.exe [600936 2009-06-29] (Symantec Corporation) HKLM\...\Run: [sunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.) HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [37296 2012-03-27] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\...\Run: [ALLUpdate] => C:\Program Files\ALLPlayer\ALLUpdate.exe [1379840 2011-08-16] () HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\...\Run: [speedUpMyComputer] => C:\Program Files\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2010-11-20] (Microsoft Corporation) AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\PROGRA~1\SupTab\SEARCH~1.DLL File Not Found CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox (Tryb awaryjny).lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW ShortcutWithArgument: C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} HKU\S-1-5-21-4226905553-3761765020-3972141223-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} URLSearchHook: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 - UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1405151008&from=ild&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&tt=300513_new&babsrc=SP_ss&mntrId=E44840618635751F SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {8961C830-6607-4568-A11D-2DC1B1ED1490} URL = http://startsear.ch/?aff=2&src=sp&cf=4c8071e5-6ed5-11e1-a66c-40618635751f&q={searchTerms} SearchScopes: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> {90C99298-F9A8-4D27-A999-4704F12A8027} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=302398&p={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll No File BHO: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) BHO: MinibarBHO -> {AA74D58F-ACD0-450D-A85E-6C04B171C044} -> C:\Program Files\Minibar\Minibar.dll (KangoExtensions) Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File Toolbar: HKLM - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) Toolbar: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-4226905553-3761765020-3972141223-1001 -> StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1418834392&from=wpm12173&uid=ST3500418AS_9VMA20TW" CHR DefaultSearchKeyword: Default -> delta-homes CHR HKLM\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\serach.crx [Not Found] CHR HKLM\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonChrome.crx [Not Found] CHR HKLM\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\ANDRZEJ\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-17] CHR HKLM\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files\StartSearch plugin\vshareplg.crx [2011-10-27] FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\ANDRZEJ\AppData\Roaming\Mozilla\Firefox\Profiles\it22xbtg.default\extensions\faststartff@gmail.com FF HKLM\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\ANDRZEJ\AppData\Roaming\Mozilla\Firefox\Profiles\it22xbtg.default\extensions\detgdp@gmail.com FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File C:\Program Files\Mozilla Firefox\plugins C:\Program Files\FoxTabFlvPlayer C:\Program Files\SupTab C:\ProgramData\pennybee C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My application C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\ANDRZEJ\AppData\Local\{*} C:\Users\ANDRZEJ\AppData\Local\*.txt C:\Users\ANDRZEJ\AppData\Local\CrashDumps C:\Users\ANDRZEJ\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\ANDRZEJ\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\ANDRZEJ\AppData\Local\NuGet C:\Users\ANDRZEJ\AppData\Roaming\dgfdgsdf.bat C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ThinkPoint.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat\AppsHat.lnk C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab C:\Users\ANDRZEJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall C:\Users\ANDRZEJ\AppData\Roaming\NuGet C:\Users\ANDRZEJ\Desktop\PROGRAMY\ALLConverter PRO.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\DAEMON Tools Lite.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\LogMeIn Hamachi.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\Norton 360.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\TuneUp Konserwacja 1 kliknięciem.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\TuneUp Utilities 2013.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\WinZip.lnk C:\Users\ANDRZEJ\Desktop\PROGRAMY\µTorrent.lnk C:\Windows\System32\%LOCALAPPDATA% C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}w.sys C:\Windows\System32\Tasks\Symantec CMD: regsvr32 /u /s "C:\Program Files\Minibar\Minibar.dll" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. AKCJE Z POZIOMU TRYBU NORMALNEGO: 1. Przez Panel sterowania odinstaluj: - Aware i PUP: AppsHat Mobile Apps, Bundled software uninstaller, FilesFrog Update Checker, LiveVDO plugin 1.3, WinZipper, YAC(Yet Another Cleaner!). - Stare wersje: Adobe Reader 9.5.1 - Polish, Java™ 6 Update 20, Mozilla Firefox (3.6.28), Mozilla Thunderbird (3.1.9), Norton 360, Norton Online Backup, OpenOffice.ux.pl 3.3, Opera 12.16. Przy deinstalacji Firefox zaznacz opcję usuwania danych użytkownika. 2. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware LiveVDO plugin, Quick start, Security Protection. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt.

Folder Pobrane nie jest poprawnie zdefiniowany. Korekta: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "{374DE290-123F-4565-9164-39C4925E467B}"="C:\\Users\\Alexis\\Downloads" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):25,00,55,00,53,00,45,00,52,00,\ 50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,44,00,6f,00,77,00,6e,\ 00,6c,00,6f,00,61,00,64,00,73,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Windows powinien wygenerować katalog w poprawnym miejscu, tzn: C:\Users\Alexis\Downloads. Stary folder C:\Users\Alexis\Application Data do skasowania, przed usunięciem przenieś z niego wszystkie pliki w jakieś inne miejsce.

Zadania wykonane. Ostatnia poprawka. Otwórz Notatnik i wklej w nim: CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - d:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2014-11-08] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: D:\Users\dom\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

adam13 Wymagane są świeże logi FRST (FRST.txt + Addition.txt) obrazujące postęp prac. Mam pytanie: czy na pewno po wykonaniu skryptu FRST (załączona komenda ipconfig /flushdns) przekierowania reklamowe nadal występują? lemko20 Zasady działu. Każdy ma mieć osobny temat.

W jakim sensie "nie działa"? Czy wybrałaś z listy połączenie do kanadyjskiego serwera? Jeśli chodzi o Fix FRST, to wykonany. Natomiast AdwCleaner wykrył komponenty Hotspot, ale na razie się tu powstrzymuję z opcją Usuń, gdyż nie wiem czy Hotspot nadal jest zainstalowany. Jeśli tak, to AdwCleaner nie może być uruchomiony bez dostosowania akcji.

To dotyczy wielu programów antymalware / antywirusowych. Nie są nieomylne. 1. Dwie linie się omyłkowo skleiły w skrypcie. Drobniutka poprawka. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\Public\Desktop\Adobe Reader X.lnk Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Następnie skasuj ręcznie pobrany FRST. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. O ile nic się nie zmieniło od ostatniego raportu Addition, do aktualizacji (aspekty wyjaśnione w w/w linku): ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) Adobe Flash Player 16 NPAPI (HKLM-x32\...\Adobe Flash Player NPAPI) (Version: 16.0.0.235 - Adobe Systems Incorporated) Adobe Reader XI (11.0.09) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AB0000000001}) (Version: 11.0.09 - Adobe Systems Incorporated) Java 7 Update 71 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F03217071FF}) (Version: 7.0.710 - Oracle) Mozilla Firefox 34.0.5 (x86 pl) (HKLM-x32\...\Mozilla Firefox 34.0.5 (x86 pl)) (Version: 34.0.5 - Mozilla) OpenOffice.org 3.3 (HKLM-x32\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org) Opera 12.17 (HKLM-x32\...\Opera 12.17.1863) (Version: 12.17.1863 - Opera Software ASA)