picasso

Zaprezentuj zrzuty ekranu pokazujące: wersję Windows (klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System) oraz pobrany plik FRST64.exe i komunikat przy jego uruchomieniu.

Oba tematy łączę razem, gdyż jest wspólny mianownik. Jest tu zainfekowany router, stąd oba komputery wykazują te same poblemy: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 Dodatkowo, w pierwszym systemie są widoczne też obiekty adware np. Better-Fox-Finder w Firefox. Akcje wstępne: CZYSZCZENIE ROUTERA: Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: DODATKOWE AKCJE NA KOMPUTERZE 1: 1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: Akamai NetSession Interface, AVG Web TuneUp, Java 7 Update 45 (64-bit), Java™ 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 GPU-Z; \??\C:\Users\Przemek\AppData\Local\Temp\GPU-Z.sys [X] HKU\S-1-5-21-744382610-1142984750-2440805673-1000\...\Policies\Explorer: [] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\3.2.0\\npsitesafety.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml CHR HKLM-x32\...\Chrome\Extension: [acfoobbgoakpihljnfedbcfaipcdlfhk] - C:\Users\Przemek\AppData\Roaming\BabSolution\CR\bueno.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-13] Task: {6CFC6EA0-A64D-46F7-8343-A1038C23C4AA} - \EPUpdater No Task File Task: {8D16774F-EF9B-49C7-9B50-8EFCEC001CDC} - System32\Tasks\{06714CF0-D966-4247-9BC5-E237E4AF380B} => pcalua.exe -a F:\cpydraw.EXE -d F:\ Task: {97CC479C-399D-4C17-B592-3B4EF8BFF31D} - System32\Tasks\{6E1D5C5F-FEDB-4351-9B67-7420A8C754A7} => pcalua.exe -a "C:\Users\Przemek\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl http://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Task: {A6204100-F70C-4B7A-AD23-6D98B43C5FE9} - System32\Tasks\{0EF9ABC1-4606-4029-9A39-629EFD7D09A9} => pcalua.exe -a C:\Programy\Impact3_5-2011\installer_adobe_svg_viewer.exe -d C:\Programy\Impact3_5-2011 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rapido C:\ProgramData\TEMP C:\Users\Przemek\AppData\Local\{3ED2504F-6BCF-43A1-832C-40E5F5F5D001} C:\Users\Przemek\AppData\Local\Akamai C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Przemek\AppData\Roaming\WebTest C:\Users\Przemek\Desktop\Programy\AVG 2014.lnk C:\Users\Przemek\Downloads\SoftonicDownloader_for_*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: ipconfig /flushdns CMD: sc config "Internet Manager. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Buenosearch Toolbar, Quick Start Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszrzenia zostaną wyłączone (włączysz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej ścieżkę C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. DODATKOWE AKCJE NA KOMPUTERZE 2: 1. Przez Panel sterowania odinstaluj starocie: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-3399675315-2231272064-2884306650-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3399675315-2231272064-2884306650-1001\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Tylko przełączenie statusu obojętnej pozycji było potrzebne i nic więcej. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Na temat pobierania z dobrychprogramów: KLIK. Prócz adware, system jest strasznie obciążony instalacjami pakietów zabezpieczających, w tle chodzą aż dwie mega potężne insatalacje Avast + stary McAfee, konieczne pozbycie się jednego z nich. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: Dynamo Combo, omiga-plus uninstall - Stare wersje i zbędniki: Adobe AIR, Adobe Reader X MUI, Bing Bar, Java 7 Update 55, Java™ 6 Update 22 (64-bit), Java™ 6 Update 22, McAfee Internet Security + McAfee SiteAdvisor. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys [48792 2015-01-11] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-17] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-17] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKU\S-1-5-21-1474587180-1992122563-1668890296-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL No File BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-01-15] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - No Path HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Aleksandra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Aleksandra\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Aleksandra\AppData\Roaming\omiga-plus C:\Users\Aleksandra\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Dynamo Combo oraz komponewnt McAfee SiteAdvisor (o ile nadal będą widoczne po w/w deinstalacjach). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy isearch.avg.com, isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem włączysz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt.

Prócz Omiga jest tu też mystartsearch (liczne modyfikacje, w tym wszystkich skrótów LNK przeglądarek) oraz wątpliwe aplikacje Lenovo. Przeczytaj moją wypowiedź w tym temacie: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj zbędne firmowe programy wątpliwej reputacji (związane z SuperFish i Pokki): Host App Service, Lenovo Web Start, Start Menu, Superfish Inc. VisualDiscovery. Więcej na ten temat: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {D9AD20EC-DEC9-4003-B40D-B468B2D1CA33} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792" CHR DefaultSearchKeyword: Default -> omiga-plus C:\Program Files (x86)\XTab C:\ProgramData\APN C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Przemek\AppData\Roaming\mystartsearch C:\Users\Przemek\AppData\Roaming\WebApp Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FireGestures) trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice, Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włączysz sobie ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt.

Wszystko wykonane. Teraz: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader X (10.1.5), Adobe Shockwave Player 11, Java™ 6 Update 18. Po deinstalacjach popraw jeszcze tzw. "awaryjnymi deinstalatorami" linkowanymi w przyklejonym: KLIK. 2. Spróbuj zainstalować ESET. Jeśli coś będzie nie tak podczas instalacji, opisz dokładnie co się dzieje. Jeśli wszystko pójdzie OK, zrób nowy log FRST z opcji Scan (zaznacz pole Addition, by powstały dwa logi).

Jest tu dużo obiektów adware. Przeprowadź następujące działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, Flash Saving, Techweb, youtubeadblocker oraz stare wersje Adobe AIR, Java™ 6 Update 27 (64-bit), Spybot - Search & Destroy. Niektóre wpisy są prawdopodobnie uszkodzone poprzez nieumiejętne użycie AdwCleaner, ale Windows powinien zapytać czy usunąć wpisy z listy. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [fst_pl_41] => [X] Startup: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Glee.S06E01.HDTV.x264-KILLERS.mp4(1).lnk GroupPolicyUsers\S-1-5-21-2987063312-1551485774-402213560-1000\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyServer: [s-1-5-21-2987063312-1551485774-402213560-1001] => 127.0.0.1:8118 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2987063312-1551485774-402213560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.iplay.com/?o=shp URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> DefaultScope {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {8AA519B6-ACAF-44E1-B2FB-E8F460F79F4A} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=930FDB67-46CF-43BD-8B6A-5C4814475BEF&apn_sauid=7AA5C731-C93B-4631-B1E8-BCA2AEFA961C BHO: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.x64.dll No File BHO-x32: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) Task: {3A97638A-9AAB-4FFF-BBFF-A4EBE789D01E} - System32\Tasks\IHUninstallTrackingTASK => CMD Task: {408AC825-3E9F-4F97-A498-65CD57FDE397} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {7D75CE48-C234-45B6-84F9-0C41582CEB24} - System32\Tasks\{21ED1F97-68AC-4807-BADF-284514DC3B06} => pcalua.exe -a C:\windows\IsUn0415.exe -c -f"C:\Sierra\Zeus - Pan Olimpu\Uninst.isu" Task: {95C84CCA-DB9D-4117-AC57-4E96D275000B} - System32\Tasks\{1DF4FA4F-19D1-4432-98A9-AD686A8AC705} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {9DFA8606-564C-4BFE-B6FE-23A1FF5F9F88} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.) Task: {AB08E407-12AA-44A8-AC4A-130C46C21C19} - System32\Tasks\{1C10CF02-10BA-4B19-8A80-63070C3AF65C} => pcalua.exe -a C:\Users\Marta\Desktop\Setup.exe -d C:\Users\Marta\Desktop Task: {B709BBAA-9D4C-4231-A881-0FDF5D2A0171} - System32\Tasks\{14F6FACE-B135-43AB-B963-53D2D2341BE6} => pcalua.exe -a c:\users\marta\appdata\local\lollipop\lollipop.bat Task: {D77BE750-0DA4-47F5-A073-9082D8E1B0EA} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe Task: {E5D932C8-5E0F-4F56-AEAC-ED58520DF2B8} - System32\Tasks\{E0BCC668-61C1-4C5E-A6C8-DABF573C9658} => pcalua.exe -a "C:\Users\Marta\Desktop\Zuma Deluxe - Pełna Wersja.exe" -d C:\Users\Marta\Desktop Task: {FB538166-74B8-47D8-93DE-BB6BFA2313A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.) Task: C:\windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe S3 esgiguard; No ImagePath S3 MREMP50a64; No ImagePath S3 MREMPR5; No ImagePath S3 MRENDIS5; No ImagePath S3 MRESP50a64; No ImagePath C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Flash Saving C:\Program Files (x86)\GraeAtSave4U C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SaveNeewaAppza C:\Program Files (x86)\unIsalies C:\ProgramData\{e48d5d66-7070-2db1-e48d-d5d667077599} C:\ProgramData\ackikepopkfndockcljljdimbmimklkk C:\ProgramData\4d09ce8d5400296d C:\ProgramData\5551195122105854317 C:\ProgramData\GraeAtSave4U C:\ProgramData\SaveNeewaAppza C:\ProgramData\Temp C:\Users\Marta\AppData\Local\Google C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Napraw uszkodzony (prawdopodobnie czyszczeniem AdwCleaner) specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Logi z przestarzałego OTL nie są tu już obowiązkowe. Próbując rozwiązać problem posługiwałaś się wątpliwym skanerem z czarnej listy: SpyHunter. Problem reklam tworzy adware Better Finder wstawione do Firefox. To nie jest wirus, a metody nabycia to działania podobne do: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare dziurawe wersje: Adobe Flash Player 9 ActiveX, Java™ SE Runtime Environment 6 Update 1. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\windows\System32\DRIVERS\EsgScanner.sys [19984 2015-01-19] () U1 eabfiltr; No ImagePath Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File C:\Program Files\Enigma Software Group C:\Users\Grześ i Paula\Downloads\AdwCleaner*.exe C:\Users\Grześ i Paula\Downloads\OTL*.exe C:\Users\Grześ i Paula\Downloads\sh-remover.exe C:\windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Posty powyżej skorygowałam, usunęłam linki reklamowe. ocznik1986, proszę dostarczyć obowiązowe logi z FRST.

Jest tu multum adware, a ostatnia seria nabyta z portalu dobreprogramy.pl: KLIK. Na dysku widać wyraźnie plik "Asystenta pobierania" i zaraz po nim wygenerowanie obiektów adware: 2015-01-10 20:04 - 2015-01-10 20:04 - 00000000 ____D () C:\ProgramData\IHProtectUpDate 2015-01-10 20:03 - 2015-01-10 20:17 - 00000000 ____D () C:\Program Files (x86)\XTab 2015-01-10 20:02 - 2015-01-10 20:02 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect 2015-01-10 20:01 - 2015-01-19 20:18 - 00000000 ____D () C:\Program Files (x86)\Dynamo Combo 2015-01-10 20:01 - 2015-01-10 20:01 - 00730528 _____ ( ) C:\Users\Adrian\Downloads\CCleaner(13061)-dp.exe 1. Przez Panel sterowania odinstaluj adware i zbędniki: McAfee Security Scan Plus, omiga-plus uninstall, WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib) R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [48792 2015-01-16] (StdLib) R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys [48792 2015-01-10] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-19] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-19] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Norton C:\ProgramData\WindowsMangerProtect C:\Users\Adrian\AppData\Roaming\omiga-plus C:\Users\Adrian\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na początek uwaga, FRST nie był pobierany z linka w przyklejonym (KLIK) tylko z innego portalu bez autoryzacji i uruchomiony plik to był downloader z adware a nie docelowy FRST. C:\Users\Jacek\AppData\Local\Temp\ICReinstall_Farbar Recovery Scan Tool.exe Jest tu definitywnie adware, ale również adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developersiej i jest konieczna całkowita reinstalacja Chrome. Akcja: 1. Przez Panel sterowania odinstaluj adware i poszkodowaną przeglądarkę: Browse Save Win, Click Caption 1.10.0.6, Google Chrome, HavrePorter, unisaoles, youtubeadblocker. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści mój skrypt poniżej. 2. Pobierz najnowszy FRST z linka w przyklejonym. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 24c54e38; c:\Program Files\DeltaFix\DeltaFix.dll [4182016 2015-01-12] () [File not signed] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 BHO: uaniSaales -> {29f954b1-bf1a-4310-b36d-23d46383d2cd} -> C:\Program Files\uaniSaales\sAiId2fMAkJRei.dll () BHO: unisaoles -> {80d325f8-a215-4f3a-bede-33b8b3706129} -> C:\Program Files\unisaoles\zs6UoeBcFTfVCw.dll () BHO: youtubeadblocker -> {a5970951-edbd-494a-9016-c603330698e6} -> C:\Program Files\youtubeadblocker\wYU0jcyjVALCLF.dll () CustomCLSID: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Jacek\AppData\Local\Temp\e9FA84\temp\PEOPLE ARE AWESOME 2014 - 2015.mp4.exe () C:\Program Files\Browse Save Win C:\Program Files\ClickCaption_1.10.0.6 C:\Program Files\DeltaFix C:\Program Files\Google\Chrome C:\Program Files\uaniSaales C:\Program Files\unisalEs C:\Program Files\unisaoles C:\Program Files\XTab C:\Program Files\youtubeadblocker C:\ProgramData\5744965725342391347 C:\ProgramData\IHProtectUpDate C:\ProgramData\nnemiiegoljppknkjanlnjehlokgldjp C:\ProgramData\plhjhkdnechhnhnnkjbmilfbmaflobma C:\Users\Jacek\AppData\Local\Google\Chrome C:\Users\Jacek\Downloads\*.partial Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie ma potrzeby dostarczać wyników, gdyż one już są wydrukowane w pliku Fixlog. Odpowiada za to ostatnia komenda skrypcie, czyli CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log. Podsumowanie ostatniej puli akcji: Zoek usunął dane rejestracji MSI opornego szczątka ESET, Fix FRST skasował zadane elementy, a SFC odtworzył zlikwidowany przez malware folder Windows Defender: 2015-01-22 10:02:25, Info CSI 00000234 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store 2015-01-22 10:02:25, Info CSI 00000235 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MsMpRes.dll.mui" from store 2015-01-22 10:02:25, Info CSI 00000236 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store 2015-01-22 10:02:25, Info CSI 0000023a [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpRes.dll" from store 2015-01-22 10:02:25, Info CSI 0000023b [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpClient.dll" from store 2015-01-22 10:02:25, Info CSI 0000023c [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpCmdRun.exe" from store 2015-01-22 10:02:25, Info CSI 0000023d [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store 2015-01-22 10:02:25, Info CSI 0000023e [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpSvc.dll" from store 2015-01-22 10:02:25, Info CSI 0000023f [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpCom.dll" from store 2015-01-22 10:02:25, Info CSI 00000240 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store 2015-01-22 10:02:25, Info CSI 00000241 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MSASCui.exe" from store 2015-01-22 10:02:25, Info CSI 00000242 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpRtMon.dll" from store 2015-01-22 10:02:25, Info CSI 00000243 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpRtPlug.dll" from store 2015-01-22 10:02:25, Info CSI 00000244 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSigDwn.dll" from store 2015-01-22 10:02:25, Info CSI 00000245 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSoftEx.dll" from store 2015-01-22 10:02:25, Info CSI 00000246 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpOAV.dll" from store 2015-01-22 10:02:26, Info CSI 00000247 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpEvMsg.dll" from store Idziemy dalej: 1. Rekonstrukcja kluczy Windows Defender na poziomie rejestru. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,04,01,00,00,10,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,d4,00,07,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,\ 00,28,00,15,00,00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,\ e5,55,dc,f4,e2,0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration] "DeltaUpdateFailure"=dword:00000000 "BddUpdateFailure"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Quarantine] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\Checkpoints] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Reporting] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan] "CheckForSignaturesBeforeRunningScan"=dword:00000001 "AutomaticallyCleanAfterScan"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates] "UpdateOnStartUp"=dword:00000000 "EngineVersion"="1.1.11302.0" "ASSignatureVersion"="1.191.1346.0" "ASSignatureApplied"=hex:00,db,b2,0d,0d,26,d0,01 "SignatureLocation"="C:\\ProgramData\\Microsoft\\Windows Defender\\Definition Updates\\{642B3344-D4C9-40C1-845C-76C24ABC0E79}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Software Explorers] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Spynet] "SpyNetReporting"=dword:00000001 "SpyNetReportingLocation"=hex(7):68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,\ 00,73,00,70,00,79,00,6e,00,65,00,74,00,32,00,2e,00,6d,00,69,00,63,00,72,00,\ 6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,00,2f,00,41,00,6e,00,74,\ 00,69,00,4d,00,61,00,6c,00,77,00,61,00,72,00,65,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,73,00,2f,00,32,00,2f,00,53,00,70,00,79,00,6e,00,65,00,74,\ 00,52,00,65,00,70,00,6f,00,72,00,74,00,53,00,72,00,76,00,63,00,2e,00,61,00,\ 73,00,6d,00,78,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatTypeDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\UX Configuration] [-HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Sprawdź czy działa Windows Defender: uruchom go, spróbuj wykonać aktualizację baz. Jeśli Windows Defender nie zadziała, zgłoś się na forum z opisem co widzisz. Jeśli jednak nie będzie z nim już problemu: 2. Na wszelki wypadek zastosuj jeszcze narzędzie ESET Uninstaller. Musi ono zostać uruchomione z poziomu Trybu awaryjnego Windows. Narzędzie tworzy log wynikowy - zmień mu nazwę z *.log na *.txt i doczep plik do wglądu.

Dzięki ichito. Nieprecyzyjnie się wyraziłam. Te dane są dla mnie widoczne. Mnie chodziło o sprawdzenie jakie oferty sponsorowane ten downloader podstawia polskim użytkownikom, bo moje sprawdzanie jest niewiarygodne (widzę inne dane niż polscy użytkownicy). Ale artus72 sprawdzał u siebie i u niego na razie downloader nie wykazał żadnych sponsoringowych czynności, tylko pobrał plik zasadniczy bez pokazywania ofert. Ale obiekt jest doczepiony w jakimś celu, w przeciwnym wypadku po co w ogóle tam występuje. Gdyby coś się zmieniło i downloader zaczął pokazywać jakieś śmieci podczas pobierania, proszę o informację.

Mam prośbę do Was. Aktualizuję temat, ale ze względu na ograniczenia IP nie jestem w stanie pobrać danych. - Widzę że powrócił "downloader" w serwisie Instalki. Czy ktoś (z polskim IP) mógłby mi dostarczyć zrzuty ekranu co on obecnie pokazuje? http://www.instalki.pl/programy/download/Windows/p2p/Hamachi.html http://www.instalki.pl/programy/download/Windows/emulatory_napedow/DAEMON_Tools_Lite.html - Czy ktoś widzi "downloader" w serwisach Onet pliki i IDG / PC Word? Jakoś nie mogę go już znaleźć... EDIT: Jeden z użytkowników sprawdził co mu pokazuje downloader Instalek - nic, jakaś niesprecyzowana przerwa. Natomiast na Onet Pliki widzę komunikaty przekierowań na Softonet.pl "bez asystenta", więc chyba likwidują to.

Potrzebny mi jest FRST - maksimum informacji, których wymagam. Sprawdź czy możesz pobrać FRST tymczasowo przehostowany tu na serwer i spakowany do ZIP (link wysłany). Może więc antywirus blokuje pobieranie. Spróbuj wyłączyć go na czas pobierania. Dodatkowo, nie jest wykluczone że pobieranie przynajmniej na XP blokuje adware - widać w pierwszym logu dwa inwazyjne sterowniki tego rodzaju.

Temat powoli aktualizuję. Będąc w Polsce w okresie świątecznym miałam szansę pobrać dane z poziomu polskiego IP ("Asystenty pobierania" są geo-orientowane i w Holandii nic mi nie pokazują). Na razie zaktualizowałam informacje o Asystentach dobrychprogramów i komputerświat (główne źródła zarazy na forum), a także Sourceforge. Zrzuty ekranu pochodzą z dnia 3.01.2015, więc jest możliwe że już coś mogło się zmienić (na PW proszę mi wysłać informację). A to co się dzieje przechodzi ludzkie pojęcie.

Użyta stara wersja FRST (najnowsza jest z dzisiaj), zestaw logów FRST niekompletny (brak plików Addition i Shortcut), brakuje też GMER. Wracaj do instrukcji, pobierz od nowa i dostarcz pożądane dane: KLIK / KLIK.

Nawet nie wiadomo co to było i czy prawdziwa infekcja. MBAM wykrył pliki związane z (de)instalacją jakiegoś programu. Jest możliwe, że były to jakieś stare odpadki adware. Jest też możliwe, że nie było to nic groźnego / fałszywy alarm. Te wyniki nie są niczym dziwnym, a wykrytym obiektem są pliki instalatora Adobe Reader XI w Temp. FRST wykazuje, że co dopiero był instalowany. W raportach brak oznak infekcji. Do usunięcia tylko puste wpisy i czyszczenie Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2390189086-3348412821-3457465990-1000\...\Run: [Opos] => [X] Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X] S3 cpuz138; \??\C:\Users\MARCIN~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] Task: {560C3C35-4C5F-4FEB-998D-43954DC94A81} - System32\Tasks\{59B41D1E-186B-4E6B-AC7A-1B059DB465A2} => pcalua.exe -a D:\gry\icewinddale2\setup-widescreen.exe -d D:\gry\icewinddale2 Task: {56597FCB-E01C-47AC-915D-9F9F1BE0FB1B} - System32\Tasks\{0B557FD3-AB39-4043-9350-0720E1F35D0A} => pcalua.exe -a C:\Users\Marcin_GW\Downloads\widescreen-v3.05.exe -d C:\Users\Marcin_GW\Downloads Task: {EBD20C22-5A54-446A-BC57-038085FD212C} - System32\Tasks\{D99E02FC-8E44-44B3-A716-14BD8875A428} => pcalua.exe -a "D:\gry\steam\steamapps\common\The Bards Tale\Config\The Bard's Setup.exe" -d "D:\gry\steam\steamapps\common\The Bards Tale" C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\Public\Desktop\Adobe Reader X.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Historia z "crackiem" wydaje się najbardziej podejrzana. Jeśli chodzi o wyniki MBAM, to wszystko do usunięcia. Czy już to zrobiłeś za pomocą programu?

Pobieranie FRST z innych serwerów jest zbanowane i nie ma autoryzacji autora, jedyna strona autoryzowana to podana w temacie. Nie szukaj "na innych serwerach", najnowsza wersja tam gdzie mówię. Podanie wersji FRST nic nie wskóra, gdyż portale nawet nie stosują oznaczenia wersji o którą tu chodzi. Czy próbowałeś w Trybie awaryjnym? Czy próbowałeś z poziomu innej przeglądarki?

Program jest zaufany. A jeśli chcesz zabezpieczyć dane jeszcze porządniej, to się po prostu robi kopie zapasowe... Przecież mówię: Aplikacja stosuje wbudowaną w system technikę restrykcji oprogramowania. W tym zakresie działań jest to po prostu "nakładka" na to co udostępnia sam Windows. Niemniej aplikacja ma też dodatkowe funkcje. Po zaaplikowaniu zabezpieczenia CryptoPrevent log z FRST pokaże owe restrykcje oprogramowania w stylu podobnym do: HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.scr HKLM Group Policy restriction on software: *.pub.exe HKLM Group Policy restriction on software: *.avi.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.scr HKLM Group Policy restriction on software: *.7z.exe HKLM Group Policy restriction on software: *.wav.pif HKLM Group Policy restriction on software: *.pdf.com HKLM Group Policy restriction on software: *.gif.com HKLM Group Policy restriction on software: *.bmp.scr HKLM Group Policy restriction on software: *.png.com HKLM Group Policy restriction on software: *.jpg.pif HKLM Group Policy restriction on software: *.xls.exe HKLM Group Policy restriction on software: *.png.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: *.rar.com HKLM Group Policy restriction on software: *.pptx.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.pif HKLM Group Policy restriction on software: *.xlsx.com HKLM Group Policy restriction on software: *.mp4.com HKLM Group Policy restriction on software: *.rtf.exe HKLM Group Policy restriction on software: C:\Users\*.scr HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.scr HKLM Group Policy restriction on software: *.rar.scr HKLM Group Policy restriction on software: *.ppt.scr HKLM Group Policy restriction on software: *.doc.com HKLM Group Policy restriction on software: *.gif.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.pif HKLM Group Policy restriction on software: *.jpeg.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.pif HKLM Group Policy restriction on software: *.png.scr HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.scr HKLM Group Policy restriction on software: *.wmv.com HKLM Group Policy restriction on software: *.jpeg.pif HKLM Group Policy restriction on software: %programdata%\*.com HKLM Group Policy restriction on software: *.ppt.com HKLM Group Policy restriction on software: *.gif.pif HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.exe HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.zip.scr HKLM Group Policy restriction on software: %userprofile%\*.exe HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.pif HKLM Group Policy restriction on software: *.wma.com HKLM Group Policy restriction on software: *.wmv.scr HKLM Group Policy restriction on software: *.rtf.scr HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.exe HKLM Group Policy restriction on software: *.mp3.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.exe HKLM Group Policy restriction on software: %programdata%\*.scr HKLM Group Policy restriction on software: *.txt.exe HKLM Group Policy restriction on software: %programdata%\*.pif HKLM Group Policy restriction on software: *.7z.scr HKLM Group Policy restriction on software: *.rtf.com HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.exe HKLM Group Policy restriction on software: *.7z.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.com HKLM Group Policy restriction on software: *.png.pif HKLM Group Policy restriction on software: C:\Users\*.exe HKLM Group Policy restriction on software: *.gif.scr HKLM Group Policy restriction on software: *.docx.scr HKLM Group Policy restriction on software: %programdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.com HKLM Group Policy restriction on software: C:\Users\*.pif HKLM Group Policy restriction on software: * HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.exe HKLM Group Policy restriction on software: *.pdf.pif HKLM Group Policy restriction on software: *.avi.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.exe HKLM Group Policy restriction on software: *.avi.exe HKLM Group Policy restriction on software: *.ppt.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.pif HKLM Group Policy restriction on software: *.wma.pif HKLM Group Policy restriction on software: %userprofile%\*.pif HKLM Group Policy restriction on software: *.divx.scr HKLM Group Policy restriction on software: *.bmp.exe HKLM Group Policy restriction on software: *.pub.scr HKLM Group Policy restriction on software: *.divx.pif HKLM Group Policy restriction on software: *.rar.pif HKLM Group Policy restriction on software: *.xls.com HKLM Group Policy restriction on software: *.txt.pif HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.scr HKLM Group Policy restriction on software: *.jpg.scr HKLM Group Policy restriction on software: *.pub.pif HKLM Group Policy restriction on software: *.divx.exe HKLM Group Policy restriction on software: *.xlsx.pif HKLM Group Policy restriction on software: *.zip.com HKLM Group Policy restriction on software: *.mp3.scr HKLM Group Policy restriction on software: *.wmv.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.pif HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.pif HKLM Group Policy restriction on software: *.mp4.scr HKLM Group Policy restriction on software: *.mp3.com HKLM Group Policy restriction on software: *.wmv.exe HKLM Group Policy restriction on software: %programdata%\*.exe HKLM Group Policy restriction on software: *.bmp.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.exe HKLM Group Policy restriction on software: *.pptx.scr HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*.pif HKLM Group Policy restriction on software: *.xls.pif HKLM Group Policy restriction on software: *.docx.pif HKLM Group Policy restriction on software: *.doc.scr HKLM Group Policy restriction on software: *.mp4.pif HKLM Group Policy restriction on software: *.7z.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.scr HKLM Group Policy restriction on software: *.pptx.com HKLM Group Policy restriction on software: C:\Users\*.com HKLM Group Policy restriction on software: *.pub.com HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.com HKLM Group Policy restriction on software: *.divx.com HKLM Group Policy restriction on software: *.doc.pif HKLM Group Policy restriction on software: *.xlsx.scr HKLM Group Policy restriction on software: *.jpg.exe HKLM Group Policy restriction on software: *.docx.com HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*.pif HKLM Group Policy restriction on software: *.pptx.pif HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.exe HKLM Group Policy restriction on software: *.txt.com HKLM Group Policy restriction on software: *.jpeg.exe HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*\*.com HKLM Group Policy restriction on software: *.rar.exe HKLM Group Policy restriction on software: *.txt.scr HKLM Group Policy restriction on software: *.doc.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Local\*.com HKLM Group Policy restriction on software: *.zip.pif HKLM Group Policy restriction on software: *.mp4.exe HKLM Group Policy restriction on software: *.wma.exe HKLM Group Policy restriction on software: %userprofile%\AppData\Roaming\*\*.scr HKLM Group Policy restriction on software: *.wav.scr HKLM Group Policy restriction on software: *.pdf.scr HKLM Group Policy restriction on software: *.pdf.exe HKLM Group Policy restriction on software: *.wma.scr HKLM Group Policy restriction on software: *.avi.pif HKLM Group Policy restriction on software: %userprofile%\*.scr HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*.scr HKLM Group Policy restriction on software: *.jpg.com HKLM Group Policy restriction on software: *.zip.exe HKLM Group Policy restriction on software: *.xls.scr HKLM Group Policy restriction on software: *.ppt.pif HKLM Group Policy restriction on software: *:\$Recycle.Bin\*\*\*.com HKLM Group Policy restriction on software: *.bmp.pif HKLM Group Policy restriction on software: *.docx.exe HKLM Group Policy restriction on software: *.rtf.pif HKLM Group Policy restriction on software: *.xlsx.exe HKLM Group Policy restriction on software: *.wav.com HKLM Group Policy restriction on software: *.jpeg.com HKLM Group Policy restriction on software: *.mp3.exe HKLM Group Policy restriction on software: *.wav.exe HKLM Group Policy restriction on software: %userprofile%\AppData\LocalLow\*\*.exe Wersja płatna PRO ma automatyczne aktualizacje oraz możliwość ręcznego zdefiniowania polityk (innych niż wbudowane w narzędzie).

1. Uruchom AdwCleaner ponownie, ale wybierz sekwencję Szukaj + Usuń. Po usuwaniu: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\user\Downloads\zl5u8mj8.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Niestety, ale pobrałeś cholernie starą wersję pozbawioną wielu skanów i poprawek: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:21-07-2014 Nie mogę tych raportów brać pod uwagę, muszę otrzymać raporty z najnowszej wersji (wydana dzisiaj), a ta jest tylko na stronie domowej. Przejdź w Tryb awaryjny z obsługą sieci i ponów próbę. Brakuje też obowiązkowego raportu z GMER.

Zadanie wykonane, ale dopiero teraz zauważyłam, że jest coś nie tak ze ścieżką specjalnego folderu Pobrane: Running from C:\Users\Alexis\Application Data\Downloads Kolejny skan. Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s CMD: dir /a C:\Users\Alexis Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń. 2. Orientacyjny zakres szyfrowania danych (tylko na dysku C), czyli lista plików z prefiksami fafktzg. Uruchom SystemLook x64 i w oknie wklej: :filefind *fafktzg* Klik w Look i podaj wynikowy log. Uwaga: log może być potwornie duży i nie wejść w załączniki. W takiej sytuacji shostuj go gdzieś (np. wklej.org, a jeśli i dla tego serwisu za duża wklejka, to spakuj do ZIP i użyj inny hosting).