picasso

Drobna uwaga: nie polecam wyłączać tej funkcji na systemach Vista i nowszych. To cenna funkcja ratunkowa na tych platformach. Nawiasem mówiąc to Przywracanie nie wyglądało na wyłączone, gdyż FRST notował conajmniej jeden punkt Przywracania: ==================== Restore Points ========================= 11-01-2015 19:00:10 Kopia zapasowa systemu Windows Skasuj C:\Delfix.txt. To tyle.

Adware to nie jest podstawowy problem tutaj - w systemie grasuje rootkit Necurs. On ma pierwszeństwo usuwania. Dopiero po tym można zająć się adware. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Rootkit.Win32.Necurs.gen (dwie pozycje: 1c2a86b7768b5cf3 i syshost32) - dla tych wyników zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller.

Proszę przeczytaj zasady działu na temat wymaganych logów: KLIK. Przestarzały OTL nie jest już brany pod uwagę i usuwam do niego odnośniki. Obowiązkowe są raporty z FRST - podany niekompletny zestaw, brakuje trzeciego pliku Shortcut - oraz GMER. Uzupełnij brakujące dane. Nie wstawiaj w tagach CODE linków. Preferowana metoda prezentacji: załączniki forum.

Ad "napisałeś" = jestem kobietą. Wszystko wykonane zgodnie z planem. Idziemy dalej, bo w międzyczasie pojawiły się nowe obiekty adware (Super Optimizer + ver3SpeedCheck), są też szczątki innych softów do usunięcia. Wymagane poprawki: 1. Odinstaluj adware SpeedCheck. W międzyczasie doinstalowałeś stary dziurawy Adobe Reader 7.0.5 - Polish (wersja narażająca na infekcje z tzw. wklejek iframe) i on na odstrzał. Pozbądź się też Adobe Shockwave Player 12.1, Apple Software Update, zapomniałam ich poprzednio uwzględnić. 2. Otwórz Notatnik i wklej w nim: S2 22134214; "C:\WINDOWS\system32\rundll32.exe" "c:\Program Files\Super Optimizer\SupOptStats.dll",ENT S2 GDTdiInterceptor; \??\C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [X] HKU\S-1-5-21-1004336348-2025429265-725345543-1003\...\Run: [super Optimizer] => C:\Program Files\Super Optimizer\SupOptLauncher.exe Task: C:\WINDOWS\Tasks\Norton Security Scan for hh.job => ? GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [s-1-5-21-1004336348-2025429265-725345543-1003] => Internet Explorer proxy is enabled. ProxyServer: [s-1-5-21-1004336348-2025429265-725345543-1003] => http=127.0.0.1:14154;https=127.0.0.1:14154 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1004336348-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: [s-1-5-21-1004336348-2025429265-725345543-1004] ATTENTION ==> Default URLSearchHook is missing. C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\G Data C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Kaspersky Lab Setup Files C:\Documents and Settings\hh\Dane aplikacji\gdscan.log C:\Documents and Settings\hh\Dane aplikacji\Opera Software C:\Documents and Settings\hh\Dane aplikacji\rmi C:\Documents and Settings\hh\Moje dokumenty\Shockwave_Installer_*.exe C:\Documents and Settings\hh\Pulpit\,.exe C:\Documents and Settings\hh\Pulpit\Malavida_Download_Manager.exe C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\nsw23.tmp C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\Super Radio C:\Documents and Settings\hh\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Common Files\Symantec Shared C:\Program Files\G DATA C:\Program Files\Google C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Opera C:\Program Files\Safari C:\Program Files\ver3SpeedCheck C:\WINDOWS\0 C:\WINDOWS\system32\0 EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po tym czyszczeniu: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Tu jeszcze nas czeka robota, AVG i Avira nadal są w systemie. Ale w pierwszej kolejności spróbuj odzyskać dane: Czy po rozszerzeniu partycji wcześniej resetowałeś system, czy może był to pierwszy restart w ogóle po operacji z dyskiem? Jeśli nigdy nie resetowałeś systemu po rozszerzeniu partycji, to jest możliwe, że to i tak miało się ujawnić przy resecie. Jak mówię, zajmij się wyszukiwaniem utraconych danych za pomocą TestDisk. Jeszcze dodam, że porównanie dwóch raportów Addition wykazuje, że raptownie zmienił się rozmiar partycji C, tzn. zmniejszyła się ona ze 128.2 GB do 88 GB. Ten brakujący kawałek C został "doklejony" do tej Rozszerzonej (dawne D). Mnie się jednak wydaje, że tu był jakiś błąd w rozszerzeniu partycji, który się nagle ujawnił, gdyż to "przesunięcie" jest niewytłumaczalne w inny logiczny sposób (nie były podejmowane w FRST żadne działania związane z partycjami). ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:128.18 GB) (Free:66.53 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:144.91 GB) (Free:2.09 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: B2A0A341) Partition 1: (Not Active) - (Size=25 GB) - (Type=1C) Partition 2: (Active) - (Size=128.2 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=144.9 GB) - (Type=OF Extended) vs. ==================== Drives ================================ Drive c: (OS) (Fixed) (Total:88.03 GB) (Free:27.4 GB) NTFS ==>[Drive with boot components (obtained from BCD)] ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: B2A0A341) Partition 1: (Not Active) - (Size=25 GB) - (Type=1C) Partition 2: (Active) - (Size=88 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=185.1 GB) - (Type=OF Extended)

OK, w związku z tym temat uznaję za zakończony i zamykam.

Post innego użytkownika nie wiadamo co mający oznaczać (tylko cytat mojego posta) usuwam. W kwestii PW: odpisuję w temacie, gdy jestem w stanie (jestem obecna i mam czas). Przypominanie się na PW nie jest potrzebne, nie przeskoczę własnych ograniczeń. Skrypty są jednorazowe i niepowtarzalne. Ponowne użycie skryptu FRST było bez sensu (i tak zresztą z błędem to zrobiłeś przeklejajc tagi BBCode z posta). FRST już zrobił zadanie w poprzednim podejściu, tzn. usunął kwarantannę FRST. Skrypt ten nie ma związku ze sprawą rozwalonych usług. To jest osobny wątek. W związku z tym, że ServicesRepair nie umie zrekonstruować usług, trzeba to zrobić ręcznie: 1. Odbudowa BITS, WinDefend, wscsvc, wuauserv. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Odbudowa MpsSvc, SharedAccess. Wykonujesz ręczną odbudowę: KLIK. To znaczy import plików REG dla MpsSvc i SharedAccess oraz nałożenie dla tych dwóch usług oryginalnych uprawnień za pomocą SetACL. 3. Restart systemu. Zrób nowy log z Farbar Service Scanner.

Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Tak te pozycje adware brałam z raportu Addition. Coś tu w międzyczasie się działo, bo zniknęło kilka pozycji i nie widać ich już w nowym Additon. Pozostałości doczyszczę ręcznie. AdwCleaner był używany w trybie usuwania. AdwCleaner to jest program brutalnie usuwający obiekty z dysku i rejestru. Nie prowadzi prawidłowej deinstalacji programów. Stosuje się go już po deinstalacjach, a nie przed, gdyż właśnie ta odwrotna kolejność skutkuje pozostawieniem większej ilości śmieci. Dlatego też mówiłam, iż możliwy skutek uboczny po jego zastosowaniu to odpadkowe niedobrze wyczyszczne wpisy na liście zainstalowanych. AdwCleaner nie jest też wolny od błędów i np. ten niepoprawny skrót IE to zapewne wynik czyszczenia AdwCleaner, który tylko wyczyścił dopisany URL adware i nie przywrócił systemowego argumentu "-extoff". Prosiłam o logi z poprzednich uruchomień AdwCleaner a nie o jego ponowne uruchomienie. Mnie nie chodzi o to, by sprawdzić co on teraz widzi (bo wiem że nic), tylko co on wcześniej usuwał i skąd. Zawartość raportu który mnie interesuje wydrukuję sobie w pliku Fixlog. Poprawki: Otwórz Notatnik i wklej w nim: CMD: type C:\AdwCleaner\AdwCleaner[s0].txt S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/DTPlugin,version=1.6.0_39 -> C:\windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.) RemoveDirectory: C:\!KillBox RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Marta\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Marta\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Marta\Desktop\x8k1mu41.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AD11DADE-C597-45D9-D8C5-1D2EB0B89613} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Nie odpowiedziałeś na pytania relatywne do Przywracania systemu:

W preferencjach Opery nie widać żadnych obiektów adware. Wszystko zrobione. Teraz: Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko zrobione. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wiem, że to celowa instalacja, tylko że jest to rozszerzenie związane z serwisem-naciągaczem. Czyżbyś sugerował, że edytowałeś plik Hosts ręcznie? Mój skrypt miał to zrobić przywracając domyślną postać pliku (plik nie jest pustyy domyślnie). Poza tym, wszystko musi być sprawdzone. Ponawiam:

To był bug w FRST. Najnowsza wersja ma to już naprawione. Pobierz program od nowa i zrób logi. Wg obrazka ta pierwsza partycja bez litery ważąca 25GB zdaje się był partycją Recovery. Natomiast niestety ostatnia Rozszerzona (dawne D) odpowiada opisowi usterki - jest oznaczona jako wolne miejsce nie sformatowane w żadnym systemie plików. W jaki sposób / czym był zmieniany rozmiar partycji? Nie mam pojęcia skąd ta usterka, ale FRST nie powinien mieć żadnego związku z tym, gdyż w ogóle nie grzebał ani na D, ani w układzie partycji. I w zastanej tu sytuacji widzę po prostu soft do odzyskiwania poprzedniej wersji partycji - typu TestDisk.

Wszystko pomyślnie zrobione i powinieneś zanotować znacznie odciążenie zasobów. Końcowe działania: 1. Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Java 7 Update 71. 2. Skasuj ręcznie pobrany FRST z dysku E:\. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Potwierdź, że jest dostęp do interfejsu Przywracania i w/w czyszczenie się udało, gdyż FRST zwrócił w skrypcie błąd tworzenia punktu o niesprecyzowanym podłożu.

Plik aswRvrt.sys to sterownik Avast. Toteż proponuję wstępnie: uruchomić Windows w Trybie awaryjnym (próbuj aż "zaskoczy") i odinstalować Avast. Jeśli to zadanie się wykonana, zrób pożądane logi o których mówiłam wcześniej i opisz co się dzieje.

Jest OK. AdwCleaner nic nie widzi. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox oraz z Pobranych GMER. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Zamontuj najnowszą wersję Adobe Flash Player ActiveX oraz zaktualizuj cały system: KLIK. Platform: Microsoft® Windows Vista™ Home Basic Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 7 (Default browser: FF)

AdwCleaner znalazł o więcej więcej wpisów niż "jedna rzecz", prawdopodobnie patrzyłeś tylko do jednej karty. Kolejna porcja działań: 1. Zresetuj system. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Jest tu co czyścić - duża ilość sterowników tytułowego bagna oraz inne odpadki adware. Dodatkowo: domyślną przeglądarką jest Opera, żadne z narzędzi jej nie skanuje, więc na razie konfiguracja jest mi nieznana i w skrypcie muszę pobrać o niej dodatkowe dane. Działania wstępne: 1. Odinstaluj: Adobe Flash Player 16 NPAPI, Adobe Shockwave Player 12.0, Java 7 Update 51 (64-bit), Java 7 Update 51. Java stara, a reszta zbędna: Adobe Flash NPAPI to wersja dla Firefox i Mozilla pochodnych (których tu brak) a Adobe Shockwave Player w większości przypadków kompletnie zbędny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64; C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys [48784 2015-01-14] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}w64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys [48792 2015-01-19] (StdLib) R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-15] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [48792 2015-01-16] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}w64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys [48792 2015-01-17] (StdLib) HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Damian\AppData\Local\Akamai\netsession_win.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} SearchScopes: HKU\S-1-5-21-2340323444-2427689111-3543431415-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} SearchScopes: HKU\S-1-5-21-2340323444-2427689111-3543431415-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} Task: {B3A35B42-16C6-4FA6-B83F-FF521EEF8149} - System32\Tasks\{DC677B28-9979-45B1-BD7B-98B0ED0A0803} => pcalua.exe -a C:\Users\Damian\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt C:\Program Files (x86)\Dynamo Combo C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Damian\AppData\Roaming\mystartsearch C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Damian\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Damian\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Był tu używany ComboFix i na ten temat: KLIK. W systemie są różne obiekty adware. Akcje do wykonania: 1. Na początek odinstaluj zbędniki i stare wersje: Adobe Flash Player 10 ActiveX, Adobe Reader X MUI, ASUS WebStorage, Bing Bar, Java 7 Update 45 (64-bit), Java 7 Update 67, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_c8263313-de19-4678-9f0b-91d257cdd5b9" CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_c8263313-de19-4678-9f0b-91d257cdd5b9" CHR DefaultSearchKeyword: Default -> dsrlte.com HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3202145650-2513813934-557568994-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3202145650-2513813934-557568994-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-3202145650-2513813934-557568994-1000 -> {8B62544C-4F3D-450C-9360-A3238DEBD04B} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809 Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-3202145650-2513813934-557568994-1000 -> No Name - {711B8D74-68F7-4C88-A675-B62BA12B8845} - No File CustomCLSID: HKU\S-1-5-21-3202145650-2513813934-557568994-1000_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe No File CustomCLSID: HKU\S-1-5-21-3202145650-2513813934-557568994-1000_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-3202145650-2513813934-557568994-1000_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation No File Task: {14440BDE-D079-4399-9D59-5D9CB0B53B2A} - System32\Tasks\{D572B549-5A43-42DA-AE82-7F99A7B76F86} => pcalua.exe -a I:\Update\TWEE_Upgrade-Unregistered.exe -d I:\Update S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\Program Files (x86)\Opera C:\Users\Manikowscy\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Manikowscy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Manikowscy\AppData\Local\Opera Software C:\Users\Manikowscy\AppData\Roaming\Opera Software C:\Users\Manikowscy\Desktop\programy\Continue AnyProtect Installation.lnk C:\Users\Manikowscy\Desktop\programy\McAfee Security Scan Plus.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\OpenOffice.org 3.4.1.lnk.Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Manikowscy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.4.1.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też: plik fixlog.txt, raport C:\ComboFix.txt oraz logi z folderu C:\AdwCleaner, by było wiadome co robił wcześniej.

Jeśli chodzi o to, że są skasowane usługi systemowe przez infekcję ZeoAccess: 1. Na czas operacji wyłącz COMODO, gdyż może blokować naprawy. 2. Uruchom ServicesRepair. Zresetuj system. 3. Zrób nowy log z Farbar Service Scanner.

Czy FRST nie jest po prostu kasowany przez antywirusy? Jeśli to wykonałeś, to temat zamknę.

Skasuj folder D:\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu Windows, nie jest to problem infekcji. W pierwszej kolejności sprawdź czy problemu nie tworzy Norton Internet Security. Na próbę odinstaluj i zweryfikuj czy jest zmiana. Dziennik zdarzeń zgłasza zresztą błędy relatywne do Nortona: System errors: ============= Error: (01/22/2015 06:47:28 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi BHDrvx64 z powodu następującego błędu: %%20 Error: (01/22/2015 06:47:07 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Norton Internet Security zawiesiła się podczas uruchamiania. Error: (01/22/2015 06:33:28 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Norton Internet Security zawiesiła się podczas uruchamiania. Jeśli pozbycie Nortona nie pomoże, do przetestowania: - Wyłączenie innych wtyczek w Firefox: Google Update, Intel, Office, Photo Gallery, Silverlight, VLC. Po tym restart Firefox. - Krok z wyłączaniem akceleracji sprzętowej: KLIK. Google Chrome w ogóle nie występuje na liście zainstalowanych, wygląda jak uszkodzona instalacja. Proponuję przebicie "nakładkowe": - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. - Uruchom tradycyjny instalator (powinien nadpisać obecną instalację): KLIK (wersja 32-bit lub 64-bit do wyboru).