picasso

Na początek uwaga, FRST nie był pobierany z linka w przyklejonym (KLIK) tylko z innego portalu bez autoryzacji i uruchomiony plik to był downloader z adware a nie docelowy FRST. C:\Users\Jacek\AppData\Local\Temp\ICReinstall_Farbar Recovery Scan Tool.exe Jest tu definitywnie adware, ale również adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developersiej i jest konieczna całkowita reinstalacja Chrome. Akcja: 1. Przez Panel sterowania odinstaluj adware i poszkodowaną przeglądarkę: Browse Save Win, Click Caption 1.10.0.6, Google Chrome, HavrePorter, unisaoles, youtubeadblocker. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści mój skrypt poniżej. 2. Pobierz najnowszy FRST z linka w przyklejonym. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 24c54e38; c:\Program Files\DeltaFix\DeltaFix.dll [4182016 2015-01-12] () [File not signed] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 BHO: uaniSaales -> {29f954b1-bf1a-4310-b36d-23d46383d2cd} -> C:\Program Files\uaniSaales\sAiId2fMAkJRei.dll () BHO: unisaoles -> {80d325f8-a215-4f3a-bede-33b8b3706129} -> C:\Program Files\unisaoles\zs6UoeBcFTfVCw.dll () BHO: youtubeadblocker -> {a5970951-edbd-494a-9016-c603330698e6} -> C:\Program Files\youtubeadblocker\wYU0jcyjVALCLF.dll () CustomCLSID: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Jacek\AppData\Local\Temp\e9FA84\temp\PEOPLE ARE AWESOME 2014 - 2015.mp4.exe () C:\Program Files\Browse Save Win C:\Program Files\ClickCaption_1.10.0.6 C:\Program Files\DeltaFix C:\Program Files\Google\Chrome C:\Program Files\uaniSaales C:\Program Files\unisalEs C:\Program Files\unisaoles C:\Program Files\XTab C:\Program Files\youtubeadblocker C:\ProgramData\5744965725342391347 C:\ProgramData\IHProtectUpDate C:\ProgramData\nnemiiegoljppknkjanlnjehlokgldjp C:\ProgramData\plhjhkdnechhnhnnkjbmilfbmaflobma C:\Users\Jacek\AppData\Local\Google\Chrome C:\Users\Jacek\Downloads\*.partial Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie ma potrzeby dostarczać wyników, gdyż one już są wydrukowane w pliku Fixlog. Odpowiada za to ostatnia komenda skrypcie, czyli CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log. Podsumowanie ostatniej puli akcji: Zoek usunął dane rejestracji MSI opornego szczątka ESET, Fix FRST skasował zadane elementy, a SFC odtworzył zlikwidowany przez malware folder Windows Defender: 2015-01-22 10:02:25, Info CSI 00000234 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store 2015-01-22 10:02:25, Info CSI 00000235 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MsMpRes.dll.mui" from store 2015-01-22 10:02:25, Info CSI 00000236 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store 2015-01-22 10:02:25, Info CSI 0000023a [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpRes.dll" from store 2015-01-22 10:02:25, Info CSI 0000023b [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpClient.dll" from store 2015-01-22 10:02:25, Info CSI 0000023c [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpCmdRun.exe" from store 2015-01-22 10:02:25, Info CSI 0000023d [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store 2015-01-22 10:02:25, Info CSI 0000023e [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpSvc.dll" from store 2015-01-22 10:02:25, Info CSI 0000023f [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpCom.dll" from store 2015-01-22 10:02:25, Info CSI 00000240 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store 2015-01-22 10:02:25, Info CSI 00000241 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MSASCui.exe" from store 2015-01-22 10:02:25, Info CSI 00000242 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpRtMon.dll" from store 2015-01-22 10:02:25, Info CSI 00000243 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpRtPlug.dll" from store 2015-01-22 10:02:25, Info CSI 00000244 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSigDwn.dll" from store 2015-01-22 10:02:25, Info CSI 00000245 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSoftEx.dll" from store 2015-01-22 10:02:25, Info CSI 00000246 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpOAV.dll" from store 2015-01-22 10:02:26, Info CSI 00000247 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpEvMsg.dll" from store Idziemy dalej: 1. Rekonstrukcja kluczy Windows Defender na poziomie rejestru. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,04,01,00,00,10,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,d4,00,07,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,\ 00,28,00,15,00,00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,\ e5,55,dc,f4,e2,0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration] "DeltaUpdateFailure"=dword:00000000 "BddUpdateFailure"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Quarantine] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\Checkpoints] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Reporting] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan] "CheckForSignaturesBeforeRunningScan"=dword:00000001 "AutomaticallyCleanAfterScan"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates] "UpdateOnStartUp"=dword:00000000 "EngineVersion"="1.1.11302.0" "ASSignatureVersion"="1.191.1346.0" "ASSignatureApplied"=hex:00,db,b2,0d,0d,26,d0,01 "SignatureLocation"="C:\\ProgramData\\Microsoft\\Windows Defender\\Definition Updates\\{642B3344-D4C9-40C1-845C-76C24ABC0E79}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Software Explorers] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Spynet] "SpyNetReporting"=dword:00000001 "SpyNetReportingLocation"=hex(7):68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,\ 00,73,00,70,00,79,00,6e,00,65,00,74,00,32,00,2e,00,6d,00,69,00,63,00,72,00,\ 6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,00,2f,00,41,00,6e,00,74,\ 00,69,00,4d,00,61,00,6c,00,77,00,61,00,72,00,65,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,73,00,2f,00,32,00,2f,00,53,00,70,00,79,00,6e,00,65,00,74,\ 00,52,00,65,00,70,00,6f,00,72,00,74,00,53,00,72,00,76,00,63,00,2e,00,61,00,\ 73,00,6d,00,78,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatTypeDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\UX Configuration] [-HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Sprawdź czy działa Windows Defender: uruchom go, spróbuj wykonać aktualizację baz. Jeśli Windows Defender nie zadziała, zgłoś się na forum z opisem co widzisz. Jeśli jednak nie będzie z nim już problemu: 2. Na wszelki wypadek zastosuj jeszcze narzędzie ESET Uninstaller. Musi ono zostać uruchomione z poziomu Trybu awaryjnego Windows. Narzędzie tworzy log wynikowy - zmień mu nazwę z *.log na *.txt i doczep plik do wglądu.

Dzięki ichito. Nieprecyzyjnie się wyraziłam. Te dane są dla mnie widoczne. Mnie chodziło o sprawdzenie jakie oferty sponsorowane ten downloader podstawia polskim użytkownikom, bo moje sprawdzanie jest niewiarygodne (widzę inne dane niż polscy użytkownicy). Ale artus72 sprawdzał u siebie i u niego na razie downloader nie wykazał żadnych sponsoringowych czynności, tylko pobrał plik zasadniczy bez pokazywania ofert. Ale obiekt jest doczepiony w jakimś celu, w przeciwnym wypadku po co w ogóle tam występuje. Gdyby coś się zmieniło i downloader zaczął pokazywać jakieś śmieci podczas pobierania, proszę o informację.

Mam prośbę do Was. Aktualizuję temat, ale ze względu na ograniczenia IP nie jestem w stanie pobrać danych. - Widzę że powrócił "downloader" w serwisie Instalki. Czy ktoś (z polskim IP) mógłby mi dostarczyć zrzuty ekranu co on obecnie pokazuje? http://www.instalki.pl/programy/download/Windows/p2p/Hamachi.html http://www.instalki.pl/programy/download/Windows/emulatory_napedow/DAEMON_Tools_Lite.html - Czy ktoś widzi "downloader" w serwisach Onet pliki i IDG / PC Word? Jakoś nie mogę go już znaleźć... EDIT: Jeden z użytkowników sprawdził co mu pokazuje downloader Instalek - nic, jakaś niesprecyzowana przerwa. Natomiast na Onet Pliki widzę komunikaty przekierowań na Softonet.pl "bez asystenta", więc chyba likwidują to.

Potrzebny mi jest FRST - maksimum informacji, których wymagam. Sprawdź czy możesz pobrać FRST tymczasowo przehostowany tu na serwer i spakowany do ZIP (link wysłany). Może więc antywirus blokuje pobieranie. Spróbuj wyłączyć go na czas pobierania. Dodatkowo, nie jest wykluczone że pobieranie przynajmniej na XP blokuje adware - widać w pierwszym logu dwa inwazyjne sterowniki tego rodzaju.

Temat powoli aktualizuję. Będąc w Polsce w okresie świątecznym miałam szansę pobrać dane z poziomu polskiego IP ("Asystenty pobierania" są geo-orientowane i w Holandii nic mi nie pokazują). Na razie zaktualizowałam informacje o Asystentach dobrychprogramów i komputerświat (główne źródła zarazy na forum), a także Sourceforge. Zrzuty ekranu pochodzą z dnia 3.01.2015, więc jest możliwe że już coś mogło się zmienić (na PW proszę mi wysłać informację). A to co się dzieje przechodzi ludzkie pojęcie.

Użyta stara wersja FRST (najnowsza jest z dzisiaj), zestaw logów FRST niekompletny (brak plików Addition i Shortcut), brakuje też GMER. Wracaj do instrukcji, pobierz od nowa i dostarcz pożądane dane: KLIK / KLIK.

Nawet nie wiadomo co to było i czy prawdziwa infekcja. MBAM wykrył pliki związane z (de)instalacją jakiegoś programu. Jest możliwe, że były to jakieś stare odpadki adware. Jest też możliwe, że nie było to nic groźnego / fałszywy alarm. Te wyniki nie są niczym dziwnym, a wykrytym obiektem są pliki instalatora Adobe Reader XI w Temp. FRST wykazuje, że co dopiero był instalowany. W raportach brak oznak infekcji. Do usunięcia tylko puste wpisy i czyszczenie Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2390189086-3348412821-3457465990-1000\...\Run: [Opos] => [X] Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X] S3 cpuz138; \??\C:\Users\MARCIN~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] Task: {560C3C35-4C5F-4FEB-998D-43954DC94A81} - System32\Tasks\{59B41D1E-186B-4E6B-AC7A-1B059DB465A2} => pcalua.exe -a D:\gry\icewinddale2\setup-widescreen.exe -d D:\gry\icewinddale2 Task: {56597FCB-E01C-47AC-915D-9F9F1BE0FB1B} - System32\Tasks\{0B557FD3-AB39-4043-9350-0720E1F35D0A} => pcalua.exe -a C:\Users\Marcin_GW\Downloads\widescreen-v3.05.exe -d C:\Users\Marcin_GW\Downloads Task: {EBD20C22-5A54-446A-BC57-038085FD212C} - System32\Tasks\{D99E02FC-8E44-44B3-A716-14BD8875A428} => pcalua.exe -a "D:\gry\steam\steamapps\common\The Bards Tale\Config\The Bard's Setup.exe" -d "D:\gry\steam\steamapps\common\The Bards Tale" C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\Public\Desktop\Adobe Reader X.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Historia z "crackiem" wydaje się najbardziej podejrzana. Jeśli chodzi o wyniki MBAM, to wszystko do usunięcia. Czy już to zrobiłeś za pomocą programu?

Pobieranie FRST z innych serwerów jest zbanowane i nie ma autoryzacji autora, jedyna strona autoryzowana to podana w temacie. Nie szukaj "na innych serwerach", najnowsza wersja tam gdzie mówię. Podanie wersji FRST nic nie wskóra, gdyż portale nawet nie stosują oznaczenia wersji o którą tu chodzi. Czy próbowałeś w Trybie awaryjnym? Czy próbowałeś z poziomu innej przeglądarki?

Program jest zaufany. A jeśli chcesz zabezpieczyć dane jeszcze porządniej, to się po prostu robi kopie zapasowe... Przecież mówię: Aplikacja stosuje wbudowaną w system technikę restrykcji oprogramowania. W tym zakresie działań jest to po prostu "nakładka" na to co udostępnia sam Windows. Niemniej aplikacja ma też dodatkowe funkcje. Po zaaplikowaniu zabezpieczenia CryptoPrevent log z FRST pokaże owe restrykcje oprogramowania w stylu podobnym do: HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.scr HKLM Group Policy restriction on software: *.pub.exe HKLM Group Policy restriction on software: *.avi.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.scr HKLM Group Policy restriction on software: *.7z.exe HKLM Group Policy restriction on software: *.wav.pif HKLM Group Policy restriction on software: *.pdf.com HKLM Group Policy restriction on software: *.gif.com HKLM Group Policy restriction on software: *.bmp.scr HKLM Group Policy restriction on software: *.png.com HKLM Group Policy restriction on software: *.jpg.pif HKLM Group Policy restriction on software: *.xls.exe HKLM Group Policy restriction on software: *.png.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: *.rar.com HKLM Group Policy restriction on software: *.pptx.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.pif HKLM Group Policy restriction on software: *.xlsx.com HKLM Group Policy restriction on software: *.mp4.com HKLM Group Policy restriction on software: *.rtf.exe HKLM Group Policy restriction on software: C:\Users\*.scr HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.scr HKLM Group Policy restriction on software: *.rar.scr HKLM Group Policy restriction on software: *.ppt.scr HKLM Group Policy restriction on software: *.doc.com HKLM Group Policy restriction on software: *.gif.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.pif HKLM Group Policy restriction on software: *.jpeg.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.pif HKLM Group Policy restriction on software: *.png.scr HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.scr HKLM Group Policy restriction on software: *.wmv.com HKLM Group Policy restriction on software: *.jpeg.pif HKLM Group Policy restriction on software: %programdata%\*.com HKLM Group Policy restriction on software: *.ppt.com HKLM Group Policy restriction on software: *.gif.pif HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.exe HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.zip.scr HKLM Group Policy restriction on software: %userprofile%\*.exe HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.pif HKLM Group Policy restriction on software: *.wma.com HKLM Group Policy restriction on software: *.wmv.scr HKLM Group Policy restriction on software: *.rtf.scr HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.exe HKLM Group Policy restriction on software: *.mp3.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.exe HKLM Group Policy restriction on software: %programdata%\*.scr HKLM Group Policy restriction on software: *.txt.exe HKLM Group Policy restriction on software: %programdata%\*.pif HKLM Group Policy restriction on software: *.7z.scr HKLM Group Policy restriction on software: *.rtf.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.exe HKLM Group Policy restriction on software: *.7z.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.com HKLM Group Policy restriction on software: *.png.pif HKLM Group Policy restriction on software: C:\Users\*.exe HKLM Group Policy restriction on software: *.gif.scr HKLM Group Policy restriction on software: *.docx.scr HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: C:\Users\*.pif HKLM Group Policy restriction on software: * HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.exe HKLM Group Policy restriction on software: *.pdf.pif HKLM Group Policy restriction on software: *.avi.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.avi.exe HKLM Group Policy restriction on software: *.ppt.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: *.wma.pif HKLM Group Policy restriction on software: %userprofile%\*.pif HKLM Group Policy restriction on software: *.divx.scr HKLM Group Policy restriction on software: *.bmp.exe HKLM Group Policy restriction on software: *.pub.scr HKLM Group Policy restriction on software: *.divx.pif HKLM Group Policy restriction on software: *.rar.pif HKLM Group Policy restriction on software: *.xls.com HKLM Group Policy restriction on software: *.txt.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.jpg.scr HKLM Group Policy restriction on software: *.pub.pif HKLM Group Policy restriction on software: *.divx.exe HKLM Group Policy restriction on software: *.xlsx.pif HKLM Group Policy restriction on software: *.zip.com HKLM Group Policy restriction on software: *.mp3.scr HKLM Group Policy restriction on software: *.wmv.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.pif HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.pif HKLM Group Policy restriction on software: *.mp4.scr HKLM Group Policy restriction on software: *.mp3.com HKLM Group Policy restriction on software: *.wmv.exe HKLM Group Policy restriction on software: %programdata%\*.exe HKLM Group Policy restriction on software: *.bmp.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.exe HKLM Group Policy restriction on software: *.pptx.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.pif HKLM Group Policy restriction on software: *.xls.pif HKLM Group Policy restriction on software: *.docx.pif HKLM Group Policy restriction on software: *.doc.scr HKLM Group Policy restriction on software: *.mp4.pif HKLM Group Policy restriction on software: *.7z.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.scr HKLM Group Policy restriction on software: *.pptx.com HKLM Group Policy restriction on software: C:\Users\*.com HKLM Group Policy restriction on software: *.pub.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.com HKLM Group Policy restriction on software: *.divx.com HKLM Group Policy restriction on software: *.doc.pif HKLM Group Policy restriction on software: *.xlsx.scr HKLM Group Policy restriction on software: *.jpg.exe HKLM Group Policy restriction on software: *.docx.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.pif HKLM Group Policy restriction on software: *.pptx.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.exe HKLM Group Policy restriction on software: *.txt.com HKLM Group Policy restriction on software: *.jpeg.exe HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.com HKLM Group Policy restriction on software: *.rar.exe HKLM Group Policy restriction on software: *.txt.scr HKLM Group Policy restriction on software: *.doc.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.com HKLM Group Policy restriction on software: *.zip.pif HKLM Group Policy restriction on software: *.mp4.exe HKLM Group Policy restriction on software: *.wma.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.scr HKLM Group Policy restriction on software: *.wav.scr HKLM Group Policy restriction on software: *.pdf.scr HKLM Group Policy restriction on software: *.pdf.exe HKLM Group Policy restriction on software: *.wma.scr HKLM Group Policy restriction on software: *.avi.pif HKLM Group Policy restriction on software: %userprofile%\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.scr HKLM Group Policy restriction on software: *.jpg.com HKLM Group Policy restriction on software: *.zip.exe HKLM Group Policy restriction on software: *.xls.scr HKLM Group Policy restriction on software: *.ppt.pif HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.com HKLM Group Policy restriction on software: *.bmp.pif HKLM Group Policy restriction on software: *.docx.exe HKLM Group Policy restriction on software: *.rtf.pif HKLM Group Policy restriction on software: *.xlsx.exe HKLM Group Policy restriction on software: *.wav.com HKLM Group Policy restriction on software: *.jpeg.com HKLM Group Policy restriction on software: *.mp3.exe HKLM Group Policy restriction on software: *.wav.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.exe Wersja płatna PRO ma automatyczne aktualizacje oraz możliwość ręcznego zdefiniowania polityk (innych niż wbudowane w narzędzie).

1. Uruchom AdwCleaner ponownie, ale wybierz sekwencję Szukaj + Usuń. Po usuwaniu: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\user\Downloads\zl5u8mj8.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Niestety, ale pobrałeś cholernie starą wersję pozbawioną wielu skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:21-07-2014 Nie mogę tych raportów brać pod uwagę, muszę otrzymać raporty z najnowszej wersji (wydana dzisiaj), a ta jest tylko na stronie domowej. Przejdź w Tryb awaryjny z obsługą sieci i ponów próbę. Brakuje też obowiązkowego raportu z GMER.

Zadanie wykonane, ale dopiero teraz zauważyłam, że jest coś nie tak ze ścieżką specjalnego folderu Pobrane: Running from C:\Users\Alexis\Application Data\Downloads Kolejny skan. Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s CMD: dir /a C:\Users\Alexis Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. 2. Orientacyjny zakres szyfrowania danych (tylko na dysku C), czyli lista plików z prefiksami fafktzg. Uruchom SystemLook x64 i w oknie wklej: :filefind *fafktzg* Klik w Look i podaj wynikowy log. Uwaga: log może być potwornie duży i nie wejść w załączniki. W takiej sytuacji shostuj go gdzieś (np. wklej.org, a jeśli i dla tego serwisu za duża wklejka, to spakuj do ZIP i użyj inny hosting).

Oczywiście, że usługi nie są "zainstalowane" - one są całkowicie wycięte z systemu. I po to jest ServiceRepair, który ma je zrekonstruować. Problem w tym, że to się w ogóle nie wykonuje z niewiadomych przyczyn. Log z Farbar Service Scanner nie przedstawia żadnych zmian. Jak usług nie było, tak ich nadal nie ma. Wystąpił też problem z usunięciem kwarantanny FRST, w której są liczne zablokowane obiekty. Kolejne podejście: 1. Tym razem wszystkie operacje z poziomu Trybu awaryjnego Windows. Uruchom Services Repair i zresetuj system. W FRST przepuść skrypt o postaci: RemoveDirectory: C:\FRST\Quarantine 2. Przejdź w Tryb normalny i zrób nowy log z Farbar Service Scanner, dołącz też fixlog.txt z operaji FRST. Jeśli nadal log FSS nie wykaże zmian, niestety zadam żmudną rekonstrukcję ręczną.

Pomyliłeś się przy wklejaniu Fixlist do Notatnika i przekleiłeś również moje wypowiedzi z posta... To się oczywiście nie wykonało, ale reszta zadań jak burza. Teraz trzeba się zająć wykańczaniem martwego ESET oraz rekonstrukcją zdewastowanego Windows Defender. Na razie ponowna instalacja ESET nie wchodzi w grę, musimy wykonać naprawy w pierwszej kolejności. Kolejna porcja czynności: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 2. Uruchom Zoek. W oknie wklej: ESET Remote Administrator Console;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 3. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: Unlock: C:\Users\Iga\AppData\Local\IObit Apps Unlock: C:\Users\Iga\AppData\Roaming\IObit Apps C:\Users\Iga\AppData\Local\IObit Apps C:\Users\Iga\AppData\Roaming\IObit Apps RemoveDirectory: C:\Program Files\ESET RemoveDirectory: C:\ProgramData\ESET DeleteKey: HKCU\Software\AlphaChess DeleteKey: HKCU\Software\GMPlayer DeleteKey: HKCU\Software\Lavalys DeleteKey: HKCU\Software\MimarSinan DeleteKey: HKCU\Software\Reg DeleteKey: HKCU\Software\roxio DeleteKey: HKCU\Software\Safer Networking Limited DeleteKey: HKCU\Software\SimonTatham DeleteKey: HKCU\Software\SOFTWIN DeleteKey: HKCU\Software\Sys DeleteKey: HKCU\Software\TeamViewer DeleteKey: HKCU\Software\WhiteSmoke Writer V8 DeleteKey: HKLM\SOFTWARE\781 DeleteKey: HKLM\SOFTWARE\activePDF DeleteKey: HKLM\SOFTWARE\AdwCleaner DeleteKey: HKLM\SOFTWARE\Audible DeleteKey: HKLM\SOFTWARE\ESET DeleteKey: HKLM\SOFTWARE\Foolish IT DeleteKey: HKLM\SOFTWARE\GamingWonderlandEI DeleteKey: HKLM\SOFTWARE\Ge-Force-nv DeleteKey: HKLM\SOFTWARE\GoHD-nv DeleteKey: HKLM\SOFTWARE\HitmanPro DeleteKey: HKLM\SOFTWARE\MimarSinan DeleteKey: HKLM\SOFTWARE\OldTimer Tools DeleteKey: HKLM\SOFTWARE\Ontrack DeleteKey: HKLM\SOFTWARE\Reg DeleteKey: HKLM\SOFTWARE\Runtime Software DeleteKey: HKLM\SOFTWARE\Safer Networking Limited DeleteKey: HKLM\SOFTWARE\Sense-nv DeleteKey: HKLM\SOFTWARE\Siber Systems DeleteKey: HKLM\SOFTWARE\SOFTWIN DeleteKey: HKLM\SOFTWARE\Symantec DeleteKey: HKLM\SOFTWARE\TeamViewer DeleteKey: HKLM\SOFTWARE\Windows Defender Reg: reg query HKCU\Software\AppDataLow /s Reg: reg query HKLM\SOFTWARE\AppDataLow /s Reg: reg query HKLM\SOFTWARE\Windows /s CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Wszystko zrobione. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Zabezpieczenia przed infekcjami szyfrującymi, oparte na restrykcjach oprogramowania, realizuje aplikacja CryptoPrevent.

Usuń pobrany FRST z podfolderu na Pulpicie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Tu jest infekcja routera, dlatego wszystkie urządzenia przekierowywane przez router są zainfekowane. Pierwszy adres IP jest ukraiński: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 Nie pomogą żadne skany czy fiksy w Windows, jest konieczne czyszczenie na poziomie routera. Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {79E9F818-CD63-4CE6-A412-CF7F063E2978} - System32\Tasks\{D170797E-6BA8-4C1F-9C56-592C1D7060C3} => pcalua.exe -a d:\gry\scooby\uninstal.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3998598826-476162460-4090119972-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3998598826-476162460-4090119972-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Ten wpis nadal nie przetworzony, ale Farbar właśnie zaaplikował poprawkę. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Żadnych zmian w usługach. Co się działo podczas uruchamiania ServicesRepair? Ponów próbę > restart systemu > nowy log z Farbar Service Scanner.

Zasady działu: KLIK. Przestarzały OTL nie jest tu już sprawdzany. Proszę dostarczyć obowiązujące raporty oraz poprawić tytuł tematu na właściwy (poprzez edycję pierwszego posta).

Czy zadanie z Usługą buforowania czcionek wykonałeś poprawnie? Czy ponowna próba uruchomienia narzędzia Fix-it zwraca ten sam błąd? No tak, ale czy w ogóle wiesz jak system działa bez żadnych antywirusów? Od razu chcesz się rzucać w COMODO, a to może być z deszczu pod rynnę. Najpierw sprawdź jak system działa bez AVG. Chyba, że to już wypowiedź po deinstalacji AVG i stwierdzeniu, że system działa lepiej.

Nie miałam zupełnie czasu uruchomić wirtualnej maszyny Windows 8, by sprawdzić gdzie są ustawienia wbudowanej przeglądarki PDF. Jeśli chodzi o Adwleaner, to mnóstwo fałszywych alarmów na poprawnych rozszerzeniach Google Chrome i COMODO Dragon. Jest to bug aktualnej wersji. Trzeba nanieść poprawki na wyniki. Usuwanie będę robić ręcznie za pomocą FRST. 1. Usuń wyszukiwarki adware z przeglądarek: - W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie wystąpienia Ask, Trovi, Certified Toolbar. - W COMODO Dragon podobna akcja, ale do skasowania jest tylko jedna pozycja Ask. 2. Otwórz Notatnik i wklej w nim: C:\Users\castletone77\AppData\Local\Comodo\Dragon\User Data\Default\Local Storage\*localstorage* C:\Users\castletone77\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\castletone77\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\castletone77\AppData\LocalLow\HomeTab C:\Users\castletone77\AppData\LocalLow\SimplyTech C:\Users\castletone77\AppData\Roaming\Nosibay C:\Users\castletone77\AppData\Roaming\SimplyTech C:\Users\castletone77\AppData\Roaming\Bubble Dock.installation.log C:\Users\Public\Desktop\eBay.lnk C:\Program Files\HomeTab Reg: reg delete HKCU\Software\1ClickDownload /f Reg: reg delete HKCU\Software\AppDataLow\Software\simplytech /f Reg: reg delete HKCU\Software\BrowserSafeguardInstalled /f Reg: reg delete HKCU\Software\GlobalUpdate /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\DOMStorage\superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\certified-toolbar.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\softonic.pl" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\trovi.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.superfish.com" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.trovi.com" /f Reg: reg delete HKCU\Software\Reimage /f Reg: reg delete HKCU\Software\simplytech /f Reg: reg delete HKCU\Software\Zugo /f Reg: reg delete "HKLM\SOFTWARE\AVG Secure Search" /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{7017502F-0194-46B2-AA5A-F713E6C0E366} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{41E2BE59-5C34-46AB-B743-6678BC94F42C} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete HKLM\SOFTWARE\InstalledBrowserExtensions /f Reg: reg delete HKLM\SOFTWARE\Reimage /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{C007DADD-132A-624C-088E-59EE6CF0711F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\HomeTab.DLL /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{02A96331-0CA6-40E2-A87D-C224601985EB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6D4506CE-F855-4657-AA38-DB6B1F733982} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7017502F-0194-46B2-AA5A-F713E6C0E366} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickCtrl.10 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickProcessLauncherMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickProcessLauncherMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.Update3WebControl.4 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoCreateAsync /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoCreateAsync.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreClass /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreClass.1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreMachineClass /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreMachineClass.1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CredentialDialogMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CredentialDialogMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassSvc /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassSvc.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.ProcessLauncher /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.ProcessLauncher.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3COMClassService /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3COMClassService.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachine /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachine.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachineFallback /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachineFallback.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebSvc /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebSvc.1.0 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{41E2BE59-5C34-46AB-B743-6678BC94F42C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\GlobalUpdate /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CFD485F0-96BD-47CD-BB6D-CD7DDA95F102}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CFD485F0-96BD-47CD-BB6D-CD7DDA95F102}" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SearchProtect /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner ponownie. Wybierz opcję Szukaj i dostarcz nowy log wynikowy.