picasso

Nie odpowiedziałeś na pytania relatywne do Przywracania systemu:

W preferencjach Opery nie widać żadnych obiektów adware. Wszystko zrobione. Teraz: Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko zrobione. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wiem, że to celowa instalacja, tylko że jest to rozszerzenie związane z serwisem-naciągaczem. Czyżbyś sugerował, że edytowałeś plik Hosts ręcznie? Mój skrypt miał to zrobić przywracając domyślną postać pliku (plik nie jest pustyy domyślnie). Poza tym, wszystko musi być sprawdzone. Ponawiam:

To był bug w FRST. Najnowsza wersja ma to już naprawione. Pobierz program od nowa i zrób logi. Wg obrazka ta pierwsza partycja bez litery ważąca 25GB zdaje się był partycją Recovery. Natomiast niestety ostatnia Rozszerzona (dawne D) odpowiada opisowi usterki - jest oznaczona jako wolne miejsce nie sformatowane w żadnym systemie plików. W jaki sposób / czym był zmieniany rozmiar partycji? Nie mam pojęcia skąd ta usterka, ale FRST nie powinien mieć żadnego związku z tym, gdyż w ogóle nie grzebał ani na D, ani w układzie partycji. I w zastanej tu sytuacji widzę po prostu soft do odzyskiwania poprzedniej wersji partycji - typu TestDisk.

Wszystko pomyślnie zrobione i powinieneś zanotować znacznie odciążenie zasobów. Końcowe działania: 1. Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Java 7 Update 71. 2. Skasuj ręcznie pobrany FRST z dysku E:\. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Potwierdź, że jest dostęp do interfejsu Przywracania i w/w czyszczenie się udało, gdyż FRST zwrócił w skrypcie błąd tworzenia punktu o niesprecyzowanym podłożu.

Plik aswRvrt.sys to sterownik Avast. Toteż proponuję wstępnie: uruchomić Windows w Trybie awaryjnym (próbuj aż "zaskoczy") i odinstalować Avast. Jeśli to zadanie się wykonana, zrób pożądane logi o których mówiłam wcześniej i opisz co się dzieje.

Jest OK. AdwCleaner nic nie widzi. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox oraz z Pobranych GMER. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Zamontuj najnowszą wersję Adobe Flash Player ActiveX oraz zaktualizuj cały system: KLIK. Platform: Microsoft® Windows Vista™ Home Basic Service Pack 1 (X86) OS Language: Polski (Polska) Internet Explorer Version 7 (Default browser: FF)

AdwCleaner znalazł o więcej więcej wpisów niż "jedna rzecz", prawdopodobnie patrzyłeś tylko do jednej karty. Kolejna porcja działań: 1. Zresetuj system. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Jest tu co czyścić - duża ilość sterowników tytułowego bagna oraz inne odpadki adware. Dodatkowo: domyślną przeglądarką jest Opera, żadne z narzędzi jej nie skanuje, więc na razie konfiguracja jest mi nieznana i w skrypcie muszę pobrać o niej dodatkowe dane. Działania wstępne: 1. Odinstaluj: Adobe Flash Player 16 NPAPI, Adobe Shockwave Player 12.0, Java 7 Update 51 (64-bit), Java 7 Update 51. Java stara, a reszta zbędna: Adobe Flash NPAPI to wersja dla Firefox i Mozilla pochodnych (których tu brak) a Adobe Shockwave Player w większości przypadków kompletnie zbędny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64; C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys [48784 2015-01-14] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}w64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys [48792 2015-01-19] (StdLib) R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-15] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [48792 2015-01-16] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}w64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys [48792 2015-01-17] (StdLib) HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Damian\AppData\Local\Akamai\netsession_win.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T HKU\S-1-5-21-2340323444-2427689111-3543431415-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} SearchScopes: HKU\S-1-5-21-2340323444-2427689111-3543431415-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} SearchScopes: HKU\S-1-5-21-2340323444-2427689111-3543431415-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421271785&from=smt&uid=ST9320325AS_5VD4MC0TXXXX5VD4MC0T&q={searchTerms} Task: {B3A35B42-16C6-4FA6-B83F-FF521EEF8149} - System32\Tasks\{DC677B28-9979-45B1-BD7B-98B0ED0A0803} => pcalua.exe -a C:\Users\Damian\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt C:\Program Files (x86)\Dynamo Combo C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Damian\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Damian\AppData\Roaming\mystartsearch C:\Windows\System32\drivers\{549b1cd8-769f-468a-ad93-f57bfc8402c2}Gw64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}w64.sys C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Damian\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Damian\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Był tu używany ComboFix i na ten temat: KLIK. W systemie są różne obiekty adware. Akcje do wykonania: 1. Na początek odinstaluj zbędniki i stare wersje: Adobe Flash Player 10 ActiveX, Adobe Reader X MUI, ASUS WebStorage, Bing Bar, Java 7 Update 45 (64-bit), Java 7 Update 67, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR RestoreOnStartup: Default -> "hxxp://rts.dsrlte.com?affID=pr_c8263313-de19-4678-9f0b-91d257cdd5b9" CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_c8263313-de19-4678-9f0b-91d257cdd5b9" CHR DefaultSearchKeyword: Default -> dsrlte.com HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3202145650-2513813934-557568994-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3202145650-2513813934-557568994-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-3202145650-2513813934-557568994-1000 -> {8B62544C-4F3D-450C-9360-A3238DEBD04B} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10809 Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-3202145650-2513813934-557568994-1000 -> No Name - {711B8D74-68F7-4C88-A675-B62BA12B8845} - No File CustomCLSID: HKU\S-1-5-21-3202145650-2513813934-557568994-1000_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe No File CustomCLSID: HKU\S-1-5-21-3202145650-2513813934-557568994-1000_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-3202145650-2513813934-557568994-1000_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation No File Task: {14440BDE-D079-4399-9D59-5D9CB0B53B2A} - System32\Tasks\{D572B549-5A43-42DA-AE82-7F99A7B76F86} => pcalua.exe -a I:\Update\TWEE_Upgrade-Unregistered.exe -d I:\Update S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\Program Files (x86)\Opera C:\Users\Manikowscy\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Manikowscy\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Manikowscy\AppData\Local\Opera Software C:\Users\Manikowscy\AppData\Roaming\Opera Software C:\Users\Manikowscy\Desktop\programy\Continue AnyProtect Installation.lnk C:\Users\Manikowscy\Desktop\programy\McAfee Security Scan Plus.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\OpenOffice.org 3.4.1.lnk.Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Manikowscy^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.4.1.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (ręcznie aktywuj). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też: plik fixlog.txt, raport C:\ComboFix.txt oraz logi z folderu C:\AdwCleaner, by było wiadome co robił wcześniej.

Jeśli chodzi o to, że są skasowane usługi systemowe przez infekcję ZeoAccess: 1. Na czas operacji wyłącz COMODO, gdyż może blokować naprawy. 2. Uruchom ServicesRepair. Zresetuj system. 3. Zrób nowy log z Farbar Service Scanner.

Czy FRST nie jest po prostu kasowany przez antywirusy? Jeśli to wykonałeś, to temat zamknę.

Skasuj folder D:\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu Windows, nie jest to problem infekcji. W pierwszej kolejności sprawdź czy problemu nie tworzy Norton Internet Security. Na próbę odinstaluj i zweryfikuj czy jest zmiana. Dziennik zdarzeń zgłasza zresztą błędy relatywne do Nortona: System errors: ============= Error: (01/22/2015 06:47:28 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi BHDrvx64 z powodu następującego błędu: %%20 Error: (01/22/2015 06:47:07 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Norton Internet Security zawiesiła się podczas uruchamiania. Error: (01/22/2015 06:33:28 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Norton Internet Security zawiesiła się podczas uruchamiania. Jeśli pozbycie Nortona nie pomoże, do przetestowania: - Wyłączenie innych wtyczek w Firefox: Google Update, Intel, Office, Photo Gallery, Silverlight, VLC. Po tym restart Firefox. - Krok z wyłączaniem akceleracji sprzętowej: KLIK. Google Chrome w ogóle nie występuje na liście zainstalowanych, wygląda jak uszkodzona instalacja. Proponuję przebicie "nakładkowe": - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. - Uruchom tradycyjny instalator (powinien nadpisać obecną instalację): KLIK (wersja 32-bit lub 64-bit do wyboru).

Defekt WMI nie powinien mieć nic do rzeczy w kwestii powiązań ze sterownikami ESET. WMI ma znaczenie przy rejestracji programu w obszarze Centrum zabezpieczeń. Rejestracja WMI została wykonana pomyślnie, gdyż ostatni log Addition pokazuje ESET w obszarze nazw WMI: ==================== Security Center ======================== AV: ESET NOD32 Antivirus 8.0 (Enabled - Up to date) {19259FAE-8396-A113-46DB-15B0E7DFA289} AS: ESET NOD32 Antivirus 8.0 (Enabled - Up to date) {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834} Prędzej wersja ESET i jego sterowników ma znaczenie. Czy BSODy nadal występują? - OpenOffice.org 3.2 należy odinstalować, by go zastąpić najnowszą wersją Apache OpenOffice 4.x. Bezpośrednia aktualizacja nie zadziała, gdyż jest zbyt duży skok między wersjami, a program w międzyczasie zmienił zupełnie brandowanie (to nie jest już program Oracle / Sun). - Adobe Flash ActiveX jest tylko i wyłącznie dla Internet Explorer, odinstaluj tę starą wersję i zainstaluj najnowszą wersję ActiveX. Inne wersje wtyczki (NPAPI - wcześniej występująca pod nazwą "Plugin" oraz PPAPI) nie będą działać. Całe zamieszanie z Adobe Flash jest rozpisane w przyklejonym: KLIK. - Google Toolbar - jeśli korzystasz, to go zostaw.

Nowy log z FRST został zrobiony sprzecznie ze wskazówkami w przyklejonym - sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Zadania wykonane. Teraz uruchom AdwCleaner. Wybierz opję Szukaj (nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. AdwCleaner ma być pobrany z linka w przyklejonym a nie innych portali zewnętrznych.

Raporty z przestarzałego OTL już nie są obowiązkowe, usuwam. Zestaw raportów obowiązkowych niekompletny: brak trzeciego pliku FRST Shortcut oraz GMER. Poza tym, FRST jest uruchamiany ze złej ścieżki tymczasowych plików: Running from C:\Users\Sławek\AppData\Local\Microsoft\Windows\INetCache\IE\07TBKA9L Pobierz na Pulpit i stamtąd uruchom. W ogóle nie podałeś w czym - proszę przeklej ze skanu te wyniki.

1. Uruchom AdwCleaner ponownie, tym razem jednak zastosuj sekwencję Szukaj + Usuń. Po ukończeniu czyszczenia: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Zestaw logów FRST niekompletny - brak trzeciego pliku Shortcut. Problem tworzą niepoprawnie usunięte obiekty adware - ten konkretny błąd pochodzi z Harmonogramu zadań. Dodatkowo, adware przekonwerowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja od zera. Jako trzeci problem występuje "Windows 7 Ultimate key generator 2014.exe" uruchamiany w starcie, to na pewno nic dobrego, to wygląda na trojana. Akcja: 1. Odinstaluj poszkodowane Google Chrome, zbędny FileHippo Update Checker (strona FileHippo nie jest już zaufana, mogą być programy supportowane przez downloader z adware) oraz co dopiero zainstalowaną starą dziurawą przeglądarkę Safari. Resztę fragmentów Google doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows 7 Ultimate key generator 2014.lnk Task: {1954526C-237C-4AA0-BFEC-DBC539C6219C} - System32\Tasks\{98555B8A-D61E-45CB-B4CC-471751C187FF} => pcalua.exe -a C:\Users\Samsung\Desktop\xxxx\setup.exe -d C:\Users\Samsung\Desktop\xxxx Task: {19AA96B8-0330-4A1B-A1EC-DC7DB41A852D} - System32\Tasks\{D911C210-1345-40CF-A74B-1225394CDBE2} => pcalua.exe -a C:\Users\Samsung\AppData\Local\Temp\Temp1_QCA_WLAN_Driver_1.0.0.1.ZIP\setup.exe Task: {3130B7B7-C5A0-4446-A6DC-06F6C02F83BA} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {3460DAF1-2273-474E-B1B4-487178AFB295} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe Task: {FB4248FB-BFA1-45E6-A25D-6659C5E4F897} - System32\Tasks\{CB3748BB-DECC-45B9-853B-6BDE93EDC9AF} => pcalua.exe -a C:\Users\Samsung\Desktop\Setup.exe -d C:\Users\Samsung\Desktop HKU\S-1-5-21-4116335502-1715231642-2624900261-1000\...\Policies\system: [DisableLockWorkstation] 0 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho64.dll No File BHO: HQCinema Pro 2.1V15.01 -> {11111111-1111-1111-1111-110611901161} -> C:\Program Files (x86)\HQCinema Pro 2.1V15.01\HQCinema Pro 2.1V15.01-bho64.dll No File BHO: Ge-Force -> {11111111-1111-1111-1111-110611971195} -> C:\Program Files (x86)\Ge-Force\Ge-Force-bho64.dll No File BHO: youtubeadblocker -> {4a4b9e26-a975-461b-9e90-7d62707ad2c0} -> C:\Program Files (x86)\youtubeadblocker\dSQCPloJQaDpXe.x64.dll No File BHO: uunissallesi -> {64de91ea-b170-4954-bc48-88ef751949dd} -> C:\Program Files (x86)\uunissallesi\KtoqeHTt8aLIPL.x64.dll No File C:\Program Files (x86)\77ccfe43-195c-48b3-97ee-5d117e86ab3a C:\Program Files (x86)\a6b34475-ba37-4641-9f0b-f8eb6abcc17c C:\Program Files (x86)\f70139f1-5e27-4171-a09f-9c2b0f5c3a25 C:\Program Files (x86)\DllTool C:\Program Files (x86)\HQCinema Pro 2.1V15.01 C:\Program Files (x86)\Google C:\Program Files (x86)\Temp C:\Program Files (x86)\Unisalesi C:\ProgramData\{ce374ec4-91e5-b5e1-ce37-74ec491e3b12} C:\ProgramData\mfjacjbcmpphmplkbgpljjdjioljnbmn C:\ProgramData\MGS C:\Users\Samsung\AppData\Local\CrashDumps C:\Users\Samsung\AppData\Local\Google C:\Users\Samsung\AppData\Local\Pro_PC_Cleaner C:\Users\Samsung\Desktop\aktywator.exe C:\Users\Samsung\Downloads\legitcheck*.hta C:\Users\Samsung\Documents\ProPCCleaner Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Samsung\AppData\Local CMD: dir /a C:\Users\Samsung\AppData\LocalLow CMD: dir /a C:\Users\Samsung\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dołącz też plik fixlog.txt.

Przestarzały OTL nie jest obowiązkowy i został usunięty z wymogów. Proszę uzupełnić obowiązowe raporty z FRST.

Prawie wszystko zrobione. 1. Nadal widzę to: CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614" Powtarzaj zadanie: 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Przypuszczalne drogi nabycia adware: KLIK. Wykonaj następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje i odpadki: Adobe Reader X - Polish, Java 7 Update 65, LiveUpdate 2.7 (Symantec Corporation). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gt; C:\WINDOWS\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gt.sys [55832 2015-01-13] (StdLib) R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gt; C:\WINDOWS\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gt.sys [55832 2015-01-12] (StdLib) R4 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158864 2014-12-29] (XTab system) R4 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-12] (Fuyu LIMITED) [File not signed] S4 Update Dynamo Combo; "C:\Program Files\Dynamo Combo\updateDynamoCombo.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} HKU\S-1-5-21-839522115-1450960922-2147179587-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} HKU\S-1-5-21-839522115-1450960922-2147179587-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-839522115-1450960922-2147179587-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} SearchScopes: HKU\S-1-5-21-839522115-1450960922-2147179587-1004 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll No File BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKU\S-1-5-21-839522115-1450960922-2147179587-1004 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Task: C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate C:\Documents and Settings\All Users\Dane aplikacji\Installations C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Aga\Dane aplikacji\omiga-plus C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Sunbelt Software C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Loca Storage\*localstorage* C:\Program Files\XTab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\rp_rules.dat C:\WINDOWS\system32\rp_stats.dat C:\WINDOWS\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gt.sys C:\WINDOWS\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gt.sys C:\WINDOWS\system32\Drivers\SBREDrv.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Oznak czynnej infekcji brak. Natomiast blokada stron relatywnych do Steam zapewne pochodzi z modyfikacji pliku HOSTS: ==================== Hosts content: ========================== 2009-07-14 03:34 - 2015-01-17 16:26 - 00000952 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 store.steampowered.com 127.0.0.1 steamcommunity.com 127.0.0.1 store.steampowered.com 127.0.0.1 steamcommunity.com Pytanie: czy wyciąłeś z logów C:\Users\Nazwę konta? Jest pokazywana dziwna spacjowa "dziura". Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare dziurawe wersje i zbędniki: Adobe AIR, Adobe Download Assistant, Adobe Flash Player 12 ActiveX, Adobe Flash Player 14 Plugin, Download Updater (AOL Inc.), Adobe Reader X (10.1.10) - Polish, F-Secure (wszystkie pozycje), Gadu-Gadu 10, Java 7 Update 67, McAfee Security Scan Plus, TNod User & Password Finder. Na razie nic nowego nie instaluj, najnowsze wersje uzupełnisz na końcu. Antywirus jest wskazany do usunięcia, bo jest archaiczny - silnik z 2009! 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4213471207-3847667108-355983222-1000\...\Run: [AIM for Windows] => "C:\Users\ \AppData\Local\AOL\AIM\aim.exe" HKU\S-1-5-21-4213471207-3847667108-355983222-1000\...\MountPoints2: {637fe431-a8cf-11e1-9154-806e6f6e6963} - E:\InstAll.exe BootExecute: autocheck autochk /k:C * StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = SearchScopes: HKU\S-1-5-21-4213471207-3847667108-355983222-1000 -> DefaultScope {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559&CUI=UN15548607411172176&UM=1 SearchScopes: HKU\S-1-5-21-4213471207-3847667108-355983222-1000 -> {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559&CUI=UN15548607411172176&UM=1 R2 HPSLPSVC; C:\Users\9DEC~1\AppData\Local\Temp\7zS52C9\hpslpsvc64.dll [1039360 2012-08-23] (Hewlett-Packard Co.) [File not signed] S3 WinRing0_1_2_0; C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [14544 2010-11-01] (OpenLibSys.org) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {13181915-BAD8-45FC-9EEC-2D577934523C} - System32\Tasks\Opera scheduled Autoupdate 1418318732 => C:\Program Files (x86)\Opera\launcher.exe Task: {7BC85E5C-55A3-4C24-8949-60546C4451C5} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe [2014-11-25] () Task: {D142B664-41B8-4DBB-A2D0-86A8D3BFD191} - \BackgroundContainer Startup Task No Task File CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path C:\Program Files\ESET C:\Program Files (x86)\IObit C:\ProgramData\Conduit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Download Assistant.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder C:\Users\ \AppData\Local\AOL C:\Users\ \AppData\Roaming\IHlpr C:\Users\ \Downloads\*.crdownload C:\Users\ \Downloads\*.tmp C:\Users\ \Downloads\SteamInstall*.msi Hosts: Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Jeśli zmanipulowałeś nazwę konta, musisz w liniach C:\Users\ \ wstawić poprawną nazwę konta, w przeciwnym wypadku FRST nic nie usunie] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wątpliwe rozszerzenie Twojanuta.pl. Ta strona to "pobieraczkowy" scam - tu opis który wstawiłam dla rozszerzenia Firefox (to samo tyczy Chrome): KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Usterka Usług kryptograficznych pomyślnie naprawiona. Większość obiektów adware usunięta. Przechodzimy do poprawek: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} HKU\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} HKU\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} URLSearchHook: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614 SearchScopes: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 -> {FB9E195E-4F10-41C2-B20E-5AD5A93E47C8} URL = http://www.search.ask.com/web?tpid=SPC-SP&o=APN10951&pf=V7&p2=^B20^aaa166^YY^PL&gct=sb&itbv=12.16.2.1855&apn_uid=AB141755-E3F8-4E24-A95D-C83A4ADC6A85&apn_ptnrs=^B20&apn_dtid=^aaa166^YY^PL&apn_dbr=cr_37.0.2062.120&doi=2014-09-16&trgb=CR&q={searchTerms}&psv=&pt=tb Toolbar: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 -> No Name - {5350432D-5350-006A-76A7-7A786E7484D7} - No File DPF: {CAFEEFAC-0017-0000-0055-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab S1 ISODrive; \??\D:\Karolina\Różne\UltraIso\UltraISO\drivers\ISODrive.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\Acoolsoft C:\Documents and Settings\All Users\Menu Start\Programy\DAEMON Tools Pro C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\All Users\Menu Start\Programy\LizardTech C:\Documents and Settings\All Users\Menu Start\Programy\NapiProjekt C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Images2PDF.lnk C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Translation Tool.lnk C:\Documents and Settings\All Users\Menu Start\Programy\UltraISO C:\Documents and Settings\All Users\Menu Start\Programy\VideoLAN C:\Documents and Settings\All Users\Pulpit\DAEMON Tools Pro.lnk C:\Documents and Settings\All Users\Pulpit\VLC media player.lnk C:\Documents and Settings\User\Dane aplikacji\AnyProtectEx C:\Documents and Settings\User\Dane aplikacji\mystartsearch C:\Documents and Settings\User\Dane aplikacji\omiga-plus C:\Documents and Settings\User\Dane aplikacji\wiaserva.log C:\Documents and Settings\User\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\User\Menu Start\Programy\FoxTab PDF Converter C:\Documents and Settings\User\Menu Start\Programy\Mobogenie C:\Documents and Settings\User\Menu Start\Programy\Start Lollipop C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\nsr1BD.tmp C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\nsx20C.tmp C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\WINDOWS\jumpshot.com C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\User\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.