picasso
-
Postów
36 516 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
Zestaw logów FRST niekompletny - brak pliku Shortcut. W systemie jest wiele obiektów adware. Próbując rozwiązać problemy używałeś wątpliwe skanery SpyHunter + YAC (Yet Another Cleaner). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj wątpliwy YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {127a069d-96fc-463f-b75f-e01a70166822}w64; C:\Windows\System32\drivers\{127a069d-96fc-463f-b75f-e01a70166822}w64.sys [48832 2014-11-29] (StdLib) R1 {1de0dec0-675e-482f-a756-fd24c6796c8e}w64; C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys [48832 2014-12-01] (StdLib) R1 {38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64; C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys [48824 2014-10-11] (StdLib) R1 {3c9eada7-386c-4a04-ab1e-4eb122397ced}w64; C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys [48824 2014-10-20] (StdLib) R1 {44b76908-31ad-4fdd-90ce-abbdbb78f175}w64; C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys [48824 2014-10-15] (StdLib) R1 {45df5bc0-27fc-482b-88e9-68b0812c4d00}w64; C:\Windows\System32\drivers\{45df5bc0-27fc-482b-88e9-68b0812c4d00}w64.sys [48824 2014-10-11] (StdLib) R1 {58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64; C:\Windows\System32\drivers\{58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64.sys [48824 2014-10-21] (StdLib) R1 {6191cc23-5db4-4079-aaac-546c45b08af1}w64; C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys [48824 2014-10-27] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61624 2014-08-06] (StdLib) R1 {6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64; C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys [48824 2014-10-21] (StdLib) R1 {75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64; C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys [48824 2014-10-13] (StdLib) R1 {8c345751-8420-408b-b348-58a70dc555b2}w64; C:\Windows\System32\drivers\{8c345751-8420-408b-b348-58a70dc555b2}w64.sys [48824 2014-10-18] (StdLib) R1 {9a9b956a-1677-4d20-830c-6c34a0594e62}w64; C:\Windows\System32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}w64.sys [48832 2014-11-30] (StdLib) R1 {9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64; C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys [48824 2014-10-17] (StdLib) R1 {a00759f4-8f6e-4f04-880d-18a7306588c3}w64; C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys [48824 2014-10-13] (StdLib) R1 {b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64; C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys [48832 2014-11-29] (StdLib) R1 {cb987b80-b481-4623-9e86-1b830e33479a}w64; C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys [48832 2014-11-26] (StdLib) R1 {eb00a2af-f43a-4114-8049-3fd98517b465}w64; C:\Windows\System32\drivers\{eb00a2af-f43a-4114-8049-3fd98517b465}w64.sys [48824 2014-10-14] (StdLib) R1 {f916f162-d4e9-413b-95d2-589769dc98ff}w64; C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys [48824 2014-10-15] (StdLib) R1 {fe0c5df8-6353-4020-a876-2550aa3760cf}w64; C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys [48824 2014-10-19] (StdLib) R2 MaintainerSvc2.04.9173792; C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2015-01-16] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 Update NetCrawl; "C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe" [X] S2 Util NetCrawl; "C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {D39CF886-93EE-4EF4-8A50-AB2760D9CDBE} - System32\Tasks\Launch ASUS Sync Loader => C:\Program Files (x86)\ASUS\ASUS Sync\asusUPCTLoader.exe CustomCLSID: HKU\S-1-5-21-2397908092-2257794209-2186997661-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\jarosław\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-21-2397908092-2257794209-2186997661-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\Windows\System32\drivers\{127a069d-96fc-463f-b75f-e01a70166822}w64.sys C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys C:\Windows\System32\drivers\{45df5bc0-27fc-482b-88e9-68b0812c4d00}w64.sys C:\Windows\System32\drivers\{58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64.sys C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys C:\Windows\System32\drivers\{8c345751-8420-408b-b348-58a70dc555b2}w64.sys C:\Windows\System32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}w64.sys C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys C:\Windows\System32\drivers\{eb00a2af-f43a-4114-8049-3fd98517b465}w64.sys C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ASUSQuickGesture(x64) /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ASUSQuickGesture(x86) /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.
-
Nie, to nie jest normalne. Na którym etapie stoi skan FRST / jaka sekcja jest wtedy skanowana?
-
Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.
-
Wysoka temperatura GPU i jego obciążenie wraz z CPU w spoczynku
picasso odpowiedział(a) na bart94 temat w Dział pomocy doraźnej
Tak jest, obciążenie GPU pochodzi z infekcji - uruchamia się tu Bitcoin miner udający "klienta Steam". Ale to nie wszystko, są tu też ślady infekcji VBKlip/Banatrix, choć ta akurat się nie uruchamia (brak pliku). Task: {BF2E35C4-DFB1-4EEA-8A3D-8F2072F72F82} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Bartek\AppData\Roaming\Skype\CODEXi\Steam Client [2014-12-30] () Task: {CDFB1F42-C6C3-4ACE-82A4-2662EAAF0AD2} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Host Service.vbs () Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Host Service.vbs () Task: {BF2E35C4-DFB1-4EEA-8A3D-8F2072F72F82} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Bartek\AppData\Roaming\Skype\CODEXi\Steam Client [2014-12-30] () Task: {CDFB1F42-C6C3-4ACE-82A4-2662EAAF0AD2} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe Task: {2D71FDB5-5305-4AEA-A51D-6424A630AE10} - System32\Tasks\{6803F70A-1CFF-484E-9816-D8D645C4644C} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.20.0.104&LastError=12002 Task: {8696033C-5BC5-4FBF-8F9B-B79CC15E861E} - System32\Tasks\{12FA2988-EE48-486C-98C6-F31122481E69} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.20.0.104&LastError=12002 FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] S3 __FOX__FOXONE_DRIVER__; \??\C:\Users\Bartek\AppData\Local\Temp\FoxDriver.sys [X] C:\ProgramData\.windows.sys C:\Users\Bartek\AppData\Local\{*} C:\Users\Bartek\AppData\Roaming\Skype\CODEXi C:\Windows\system32\Drivers\113576BB.sys Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. -
Dynamo Combo po pobieraniu z dobreprogramy
picasso odpowiedział(a) na Bartok temat w Dział pomocy doraźnej
Na temat pobierania z dobrychprogramów i podobnych: KLIK. W systemie są liczne ślady po operacjach "Asystenta pobierania". Dodatkowo, będę wyrzucać szczątki Firefox, który wygląda na odinstalowany. 1. Na początek odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 MUI, Adobe Shockwave Player 12.0, ASUS WebStorage, Gadu-Gadu 10, Java 6 Update 22, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-15] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-16] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-16] () U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath HKLM-x32\...\Run: [] => [X] AppInit_DLLs: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll => C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll File Not Found AppInit_DLLs: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll => C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll File Not Found HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No File Toolbar: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Task: {0C591A53-BF78-4717-90A5-17F20B033475} - System32\Tasks\{06BAC61C-2CEA-45C6-8A69-D29B173DE88D} => pcalua.exe -a E:\Autorun.exe -d E:\ Task: {3D2AEA76-67EB-4661-A72D-4BBEECFEF2A1} - System32\Tasks\{49E5177D-AB23-497D-8EE7-F0B9EB15EA0F} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0208C5A-0D27-4A6A-9FA2-D11771EE1063} - System32\Tasks\ASUS P4G => C:\Program Files\P4G\BatteryLife.exe C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Maintenance Service C:\ProgramData\Mozilla C:\ProgramData\Temp C:\Users\Bartek Szymuś\AppData\Local\Mozilla C:\Users\Bartek Szymuś\AppData\Roaming\Mozilla C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\Desktop\*.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Problem z wirusami w tablecie z systemem Windows
picasso odpowiedział(a) na aggie71 temat w Dział pomocy doraźnej
Proszę przeczytaj zasady na temat autoryzowanych pomocników. Jestem jedyną osobą mogącą prowadzić pomoc w tym dziale, a to oznacza, że gdy jestem nieobecna (np. z powodu choroby) nie jestem w stanie zająć się tematem błyskawicznie. Zasady działu - jest wyraźnie powiedziane, by podać w czym antywirus wykrywa zagrożenie, tzn. konkretną ścieżkę dostępu. YAC (Yet Another Cleaner) to podejrzany program wątpliwej reputacji. Pisałam o nim np. tu: KLIK. Z daleka od niego. Na dodatek robi masowe przekierowania na search.yac.mx. FRST został uruchomiony ze złej lokalizacji, czyli tymczasowych plików: Running from C:\Users\marek_000\AppData\Local\Microsoft\Windows\INetCache\IE\5WEWR2KB Działania wstępne: 1. Przez Panel sterowania odinstaluj wątpliwe programy i adware: Softonic Assistant, VidPlaya wersja 1.0.1, YAC(Yet Another Cleaner!). 2. Pobierz ponownie FRST, ale zapisz go na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\S-1-5-21-676754089-1097009511-3930790267-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\S-1-5-21-676754089-1097009511-3930790267-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421618437 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://Vosteran.com/results.php?f=4&q={searchTerms}&a=vst_ir_14_52_ch&cd=2XzuyEtN2Y1L1QzuyDyEtByBtC0E0D0FtAyCzzyDtAyDtDzztN0D0Tzu0StCtDzzzytN1L2XzutAtFyCtFtCyDtFtAtN1L1CzutCyEtBzytDyD1V1BtN1L1G1B1V1N2Y1L1Qzu2StAzzyByDzyzzyEtAtGtAyD0DyDtG0B0F0DyBtG0B0E0EtDtGyDyEtDtCyEtCtCzztA0C0CyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDyCyByCyDzytC0FtG0F0E0BzztGyEyDzyyCtG0BzyyC0CtG0EyCtB0EtAtCzzzz0E0F0AtD2Q&cr=1508793227&ir= SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421618437 SearchScopes: HKLM -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = http://at.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421617539 SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421617539 SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = http://at.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} HKU\S-1-5-21-676754089-1097009511-3930790267-1001\...\Run: [RemoteFilesTrayIcon] => "C:\Program Files\Acer\abFiles\abFilesTrayIcon.exe" Task: {5FA7E8FD-006F-4BA8-9C7B-5D22EF50019B} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-676754089-1097009511-3930790267-1001 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe Task: {DE911CF7-1DA1-4BD0-BA19-3159D07E4910} - System32\Tasks\avastBCLRestartS-1-5-21-676754089-1097009511-3930790267-1001 => Chrome.exe C:\Program Files\Google C:\ProgramData\AVAST Software C:\ProgramData\OEM_YAHOO C:\Users\marek_000\AppData\Local\Google C:\Users\marek_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk C:\Users\marek_000\Desktop\VidPlayaSetup_v2.exe C:\Users\marek_000\Desktop\yet_another_cleaner_sfto_5_6_105.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Wszystko zrobione. Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.
-
Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielony w osobny temat. Zestaw podanych logów FRST niekompletny: po pierwsze główny log FRST.txt jest ... pusty, po drugie brak trzeciego pliku Shortcut. Zrób nowe porządne raporty i dostarcz nowe załączniki.
-
Proszę nie załączać logów które nie są obowiązkowe. Przestarzały OTL usunięty z wymagań - wymazuję do niego odnośniki. Za to logi z FRST niekompletne - brak trzeciego pliku Shortcut. W raportach nie widać nic szczególnego, ale w Google Chrome jest conajmniej jeden niepożądany obiekt. Przeprowadź następujące działania: 1. Odinstaluj stare wersje: Adobe Reader 8 - Polish, Java 7 Update 45, Java 7 Update 71. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKU\S-1-5-21-3883153021-2115777462-2494107699-1000\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Promonas\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-07] CHR HKLM-x32\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Promonas\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-07] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com Task: {4152A0F0-8D99-4810-8E96-2C501900835C} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3883153021-2115777462-2494107699-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {7B93B735-CD77-47D2-9DFD-3945E9AD4E24} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3883153021-2115777462-2494107699-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {889B8B50-9132-48BD-88A9-B4D2DB64A66D} - System32\Tasks\{4ED975AF-85E8-4FA6-9458-97A543662597} => C:\Users\Promonas\Desktop\Launcher.exe Task: {F37E5257-31FA-486F-9B78-A2F3F8C8F0B8} - System32\Tasks\avastBCLRestartS-1-5-21-3883153021-2115777462-2494107699-1000 => Chrome.exe CustomCLSID: HKU\S-1-5-21-3883153021-2115777462-2494107699-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Promonas\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File C:\Program Files (x86)\Opera C:\ProgramData\Malwarebytes C:\Users\Promonas\AppData\Local\{5B6C705E-788C-4975-B509-656F653AD077} C:\Users\Promonas\AppData\Local\CRE C:\Users\Promonas\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Promonas\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Promonas\AppData\Local\Opera Software C:\Users\Promonas\AppData\Roaming\Opera Software C:\Windows\system32\log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. Opisz co się dzieje.
-
rafiksq, zasady działu: KLIK. Przestarzały OTL został usunięty z wymagań i nie jest już w ogóle brany pod uwagę. Proszę dostarczyć obowiązkowe raporty z FRST.
-
kliszka, do wglądu zasady działu na temat oczekiwania na odpowiedź. Jestem jedyną osobą autoryzowaną do prowadzenia pomocy, a gdy mnie nie ma lub nie jestem w stanie zająć się tematem, temat jest przetwarzany nie natychmiastowo. Proszę opisz co dokładnie zrobiłeś oraz zrób nowe logi FRST (wszystkie trzy) mające przedstawić zaistniałe zmiany.
-
Nieustannie pojawiające się komunikaty o błędach APN Updater
picasso odpowiedział(a) na karolsc temat w Dział pomocy doraźnej
Tytułowy problem z błędami "APN Updater " tworzy instalacja adware "Search App by Ask", ale to nie jedyny obiekt adware. Dodatkowo w systemie jest i inny problem, tzn. uszkodzenie bazy Usług kryptograficznych, dlatego też wszystkie usługi i sterowniki Microsoftu są oznaczone jako niepodpisane cyfrowo. Wstępne działania: 1. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. Narzędzie działa na XP, a jedna z procedur trybu agresywnego to reset bazy kryptograficznych. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: ConvertAd, FLV Player, mystartsearch uninstall, Remote Desktop Access (VuuPC), Search App by Ask, Winamp Toolbar. - Stare wersje: J2SE Runtime Environment 5.0 Update 6, Java 7 Update 55, Java 6 Update 34, Java 6 Update 7, OpenOffice.org Installer 1.0, Opera 12.17. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). -
Proszę dostosuj się do zasad działu: KLIK. To znaczy opis problemu o co Ci chodzi, z czym jest problem. Logi z FRST niekompletne, brak pliku FRST Shortcut. Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów i tam się nie grzebie. Bieżące logi są zawsze w lokalizacji z której uruchamiano program, czyli w tym przypadku w katalogu Pobrane.
-
Logi z przestarzałego OTL zostały wycofane z użytku. Obecnie na forum posługuję się tylko FRST. Skoro FRST staje na skanie dziennika Office, to go wyczyść przed ponownym uruchomieniem FRST: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > wyszukaj dzienniki Office i z prawokliku wyczyść. Raporty pomogą tylko usunąć wtórne komponenty infekcji. Deszyfracja plików jest awykonalna: KLIK.
-
Wpadło mi coś okropnego - Your personal files are encrypted by CTB-Locker
picasso odpowiedział(a) na adela temat w Dział pomocy doraźnej
To co widać "na monitorze" oznacza, że infekcja nie została usunięta i są wymagane logi o których wspomina artus72. W zakresie logów możliwe jest tylko usunięcie komponentów infekcji, lecz nie odszyfrowanie danych: Ta infekcja szyfrująca atakuje wszystkie dyski dostępne w momencie inicjacji infekcji. Deszyfracja plików jest niemożliwa. Jedyny ratunek to próba zastosowania softu do odzyskiwania danych, jak wskazał to gajowy. -
Zaprezentuj zrzuty ekranu pokazujące: wersję Windows (klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System) oraz pobrany plik FRST64.exe i komunikat przy jego uruchomieniu.
-
Oba tematy łączę razem, gdyż jest wspólny mianownik. Jest tu zainfekowany router, stąd oba komputery wykazują te same poblemy: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 Dodatkowo, w pierwszym systemie są widoczne też obiekty adware np. Better-Fox-Finder w Firefox. Akcje wstępne: CZYSZCZENIE ROUTERA: Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: DODATKOWE AKCJE NA KOMPUTERZE 1: 1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: Akamai NetSession Interface, AVG Web TuneUp, Java 7 Update 45 (64-bit), Java 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 GPU-Z; \??\C:\Users\Przemek\AppData\Local\Temp\GPU-Z.sys [X] HKU\S-1-5-21-744382610-1142984750-2440805673-1000\...\Policies\Explorer: [] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\3.2.0\\npsitesafety.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml CHR HKLM-x32\...\Chrome\Extension: [acfoobbgoakpihljnfedbcfaipcdlfhk] - C:\Users\Przemek\AppData\Roaming\BabSolution\CR\bueno.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-13] Task: {6CFC6EA0-A64D-46F7-8343-A1038C23C4AA} - \EPUpdater No Task File Task: {8D16774F-EF9B-49C7-9B50-8EFCEC001CDC} - System32\Tasks\{06714CF0-D966-4247-9BC5-E237E4AF380B} => pcalua.exe -a F:\cpydraw.EXE -d F:\ Task: {97CC479C-399D-4C17-B592-3B4EF8BFF31D} - System32\Tasks\{6E1D5C5F-FEDB-4351-9B67-7420A8C754A7} => pcalua.exe -a "C:\Users\Przemek\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl http://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Task: {A6204100-F70C-4B7A-AD23-6D98B43C5FE9} - System32\Tasks\{0EF9ABC1-4606-4029-9A39-629EFD7D09A9} => pcalua.exe -a C:\Programy\Impact3_5-2011\installer_adobe_svg_viewer.exe -d C:\Programy\Impact3_5-2011 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rapido C:\ProgramData\TEMP C:\Users\Przemek\AppData\Local\{3ED2504F-6BCF-43A1-832C-40E5F5F5D001} C:\Users\Przemek\AppData\Local\Akamai C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Przemek\AppData\Roaming\WebTest C:\Users\Przemek\Desktop\Programy\AVG 2014.lnk C:\Users\Przemek\Downloads\SoftonicDownloader_for_*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: ipconfig /flushdns CMD: sc config "Internet Manager. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Buenosearch Toolbar, Quick Start Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszrzenia zostaną wyłączone (włączysz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej ścieżkę C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. DODATKOWE AKCJE NA KOMPUTERZE 2: 1. Przez Panel sterowania odinstaluj starocie: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-3399675315-2231272064-2884306650-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3399675315-2231272064-2884306650-1001\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt
-
Podczas otwierania jakiejkolwiek strony Avast wykrywa zagrozenie URL:Mal
picasso odpowiedział(a) na akinek temat w Dział pomocy doraźnej
Tylko przełączenie statusu obojętnej pozycji było potrzebne i nic więcej. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. -
Prośba o pomoc w usunięciu Dynamo Combo
picasso odpowiedział(a) na jlo temat w Dział pomocy doraźnej
Na temat pobierania z dobrychprogramów: KLIK. Prócz adware, system jest strasznie obciążony instalacjami pakietów zabezpieczających, w tle chodzą aż dwie mega potężne insatalacje Avast + stary McAfee, konieczne pozbycie się jednego z nich. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: Dynamo Combo, omiga-plus uninstall - Stare wersje i zbędniki: Adobe AIR, Adobe Reader X MUI, Bing Bar, Java 7 Update 55, Java 6 Update 22 (64-bit), Java 6 Update 22, McAfee Internet Security + McAfee SiteAdvisor. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys [48792 2015-01-11] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-17] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-17] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKU\S-1-5-21-1474587180-1992122563-1668890296-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL No File BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-01-15] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - No Path HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Aleksandra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Aleksandra\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Aleksandra\AppData\Roaming\omiga-plus C:\Users\Aleksandra\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Dynamo Combo oraz komponewnt McAfee SiteAdvisor (o ile nadal będą widoczne po w/w deinstalacjach). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy isearch.avg.com, isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem włączysz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt. -
Omiga Plus oraz XTab - złośliwe programy
picasso odpowiedział(a) na przemko temat w Dział pomocy doraźnej
Prócz Omiga jest tu też mystartsearch (liczne modyfikacje, w tym wszystkich skrótów LNK przeglądarek) oraz wątpliwe aplikacje Lenovo. Przeczytaj moją wypowiedź w tym temacie: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj zbędne firmowe programy wątpliwej reputacji (związane z SuperFish i Pokki): Host App Service, Lenovo Web Start, Start Menu, Superfish Inc. VisualDiscovery. Więcej na ten temat: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {D9AD20EC-DEC9-4003-B40D-B468B2D1CA33} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792" CHR DefaultSearchKeyword: Default -> omiga-plus C:\Program Files (x86)\XTab C:\ProgramData\APN C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Przemek\AppData\Roaming\mystartsearch C:\Users\Przemek\AppData\Roaming\WebApp Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FireGestures) trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice, Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włączysz sobie ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt. -
Pozostałości po reklamiarzach / Brak możliwości zainstalowania antywirusa
picasso odpowiedział(a) na Shajro temat w Dział pomocy doraźnej
Wszystko wykonane. Teraz: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader X (10.1.5), Adobe Shockwave Player 11, Java 6 Update 18. Po deinstalacjach popraw jeszcze tzw. "awaryjnymi deinstalatorami" linkowanymi w przyklejonym: KLIK. 2. Spróbuj zainstalować ESET. Jeśli coś będzie nie tak podczas instalacji, opisz dokładnie co się dzieje. Jeśli wszystko pójdzie OK, zrób nowy log FRST z opcji Scan (zaznacz pole Addition, by powstały dwa logi). -
SaverExtension - proszę o pomoc w usunięciu
picasso odpowiedział(a) na varda temat w Dział pomocy doraźnej
Jest tu dużo obiektów adware. Przeprowadź następujące działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, Flash Saving, Techweb, youtubeadblocker oraz stare wersje Adobe AIR, Java 6 Update 27 (64-bit), Spybot - Search & Destroy. Niektóre wpisy są prawdopodobnie uszkodzone poprzez nieumiejętne użycie AdwCleaner, ale Windows powinien zapytać czy usunąć wpisy z listy. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [fst_pl_41] => [X] Startup: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Glee.S06E01.HDTV.x264-KILLERS.mp4(1).lnk GroupPolicyUsers\S-1-5-21-2987063312-1551485774-402213560-1000\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyServer: [s-1-5-21-2987063312-1551485774-402213560-1001] => 127.0.0.1:8118 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2987063312-1551485774-402213560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.iplay.com/?o=shp URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> DefaultScope {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {8AA519B6-ACAF-44E1-B2FB-E8F460F79F4A} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=930FDB67-46CF-43BD-8B6A-5C4814475BEF&apn_sauid=7AA5C731-C93B-4631-B1E8-BCA2AEFA961C BHO: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.x64.dll No File BHO-x32: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) Task: {3A97638A-9AAB-4FFF-BBFF-A4EBE789D01E} - System32\Tasks\IHUninstallTrackingTASK => CMD Task: {408AC825-3E9F-4F97-A498-65CD57FDE397} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {7D75CE48-C234-45B6-84F9-0C41582CEB24} - System32\Tasks\{21ED1F97-68AC-4807-BADF-284514DC3B06} => pcalua.exe -a C:\windows\IsUn0415.exe -c -f"C:\Sierra\Zeus - Pan Olimpu\Uninst.isu" Task: {95C84CCA-DB9D-4117-AC57-4E96D275000B} - System32\Tasks\{1DF4FA4F-19D1-4432-98A9-AD686A8AC705} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {9DFA8606-564C-4BFE-B6FE-23A1FF5F9F88} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.) Task: {AB08E407-12AA-44A8-AC4A-130C46C21C19} - System32\Tasks\{1C10CF02-10BA-4B19-8A80-63070C3AF65C} => pcalua.exe -a C:\Users\Marta\Desktop\Setup.exe -d C:\Users\Marta\Desktop Task: {B709BBAA-9D4C-4231-A881-0FDF5D2A0171} - System32\Tasks\{14F6FACE-B135-43AB-B963-53D2D2341BE6} => pcalua.exe -a c:\users\marta\appdata\local\lollipop\lollipop.bat Task: {D77BE750-0DA4-47F5-A073-9082D8E1B0EA} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe Task: {E5D932C8-5E0F-4F56-AEAC-ED58520DF2B8} - System32\Tasks\{E0BCC668-61C1-4C5E-A6C8-DABF573C9658} => pcalua.exe -a "C:\Users\Marta\Desktop\Zuma Deluxe - Pełna Wersja.exe" -d C:\Users\Marta\Desktop Task: {FB538166-74B8-47D8-93DE-BB6BFA2313A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.) Task: C:\windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe S3 esgiguard; No ImagePath S3 MREMP50a64; No ImagePath S3 MREMPR5; No ImagePath S3 MRENDIS5; No ImagePath S3 MRESP50a64; No ImagePath C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Flash Saving C:\Program Files (x86)\GraeAtSave4U C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SaveNeewaAppza C:\Program Files (x86)\unIsalies C:\ProgramData\{e48d5d66-7070-2db1-e48d-d5d667077599} C:\ProgramData\ackikepopkfndockcljljdimbmimklkk C:\ProgramData\4d09ce8d5400296d C:\ProgramData\5551195122105854317 C:\ProgramData\GraeAtSave4U C:\ProgramData\SaveNeewaAppza C:\ProgramData\Temp C:\Users\Marta\AppData\Local\Google C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Napraw uszkodzony (prawdopodobnie czyszczeniem AdwCleaner) specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). -
Logi z przestarzałego OTL nie są tu już obowiązkowe. Próbując rozwiązać problem posługiwałaś się wątpliwym skanerem z czarnej listy: SpyHunter. Problem reklam tworzy adware Better Finder wstawione do Firefox. To nie jest wirus, a metody nabycia to działania podobne do: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare dziurawe wersje: Adobe Flash Player 9 ActiveX, Java SE Runtime Environment 6 Update 1. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\windows\System32\DRIVERS\EsgScanner.sys [19984 2015-01-19] () U1 eabfiltr; No ImagePath Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File C:\Program Files\Enigma Software Group C:\Users\Grześ i Paula\Downloads\AdwCleaner*.exe C:\Users\Grześ i Paula\Downloads\OTL*.exe C:\Users\Grześ i Paula\Downloads\sh-remover.exe C:\windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
-
Nadmiar niechcianych reklam, Podo Web i Powered By Framed Display
picasso odpowiedział(a) na ocznik1986 temat w Dział pomocy doraźnej
Posty powyżej skorygowałam, usunęłam linki reklamowe. ocznik1986, proszę dostarczyć obowiązowe logi z FRST. -
Podczas otwierania jakiejkolwiek strony Avast wykrywa zagrozenie URL:Mal
picasso odpowiedział(a) na akinek temat w Dział pomocy doraźnej
Jest tu multum adware, a ostatnia seria nabyta z portalu dobreprogramy.pl: KLIK. Na dysku widać wyraźnie plik "Asystenta pobierania" i zaraz po nim wygenerowanie obiektów adware: 2015-01-10 20:04 - 2015-01-10 20:04 - 00000000 ____D () C:\ProgramData\IHProtectUpDate 2015-01-10 20:03 - 2015-01-10 20:17 - 00000000 ____D () C:\Program Files (x86)\XTab 2015-01-10 20:02 - 2015-01-10 20:02 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect 2015-01-10 20:01 - 2015-01-19 20:18 - 00000000 ____D () C:\Program Files (x86)\Dynamo Combo 2015-01-10 20:01 - 2015-01-10 20:01 - 00730528 _____ ( ) C:\Users\Adrian\Downloads\CCleaner(13061)-dp.exe 1. Przez Panel sterowania odinstaluj adware i zbędniki: McAfee Security Scan Plus, omiga-plus uninstall, WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib) R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [48792 2015-01-16] (StdLib) R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys [48792 2015-01-10] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-19] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-19] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Norton C:\ProgramData\WindowsMangerProtect C:\Users\Adrian\AppData\Roaming\omiga-plus C:\Users\Adrian\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.