picasso

Zadania wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver nointegritychecks: ==> Integrity Checks is disabled BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files (x86)\IObit C:\ProgramData\DeviceVM C:\ProgramData\IObit C:\ProgramData\Sun C:\Users\Cezary\AppData\Roaming\DeviceVm C:\Users\Cezary\AppData\Roaming\IObit C:\Windows\SysWOW64\deployJava1.dll Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj (nie wybieraj na razie Usuń) i distarcz wynikowy log z folderu C:\AdwCleaner. Jakie konkretnie funkcje Cię interesują?

Na przyszłość: przy pierwszym niepowodzeniu od razu się zgłaszasz na forum z opisem i częściowym logiem (o ile utworzony). Zasady działu wyrażnie mówią, że Fixy są jednorazowe i niepowtarzalne, przy problemach STOP i nie ponawiać prób. Przetworzyłeś wielokrotnie to samo, dlatego już po pierwszym przebiegu żadne wpisy z wyjątkiem ostatniej nie zostały przetworzone.Z przebiegu zdarzeń wynika, iż FRST miał problem z wykonaniem komendy EmptyTemp:. Fix FRST resetuje klucz Parameters usługi przekierowując na poprawną ścieżkę. To zostało tu wykonane, dlatego cytowane objawy zniknęły. Defekt usługi WMI nie jest jednak przyczyną BSODów - nie ten poziom ingerencji. Prędzej antywirus może być kłopotliwy (układ inwazyjnych sterowników). Przestaw także Usługi kryptograficzne oraz Windows Update na Automatyczny: Windows Update: ============ wuauserv Service is not running. Checking service configuration: The start type of wuauserv service is set to Demand. The default start type is Auto. The ImagePath of wuauserv service is OK. The ServiceDll of wuauserv service is OK. cryptsvc Service is not running. Checking service configuration: The start type of cryptsvc service is set to Demand. The default start type is Auto. The ImagePath of cryptsvc service is OK. The ServiceDll of cryptsvc: "%SystemRoot%\system32\cryptsvc.dll". FRST nie mógł wykonać weryfikacji podpisów cyfrowych plików: ========================== Services (Whitelisted) ================= ATTENTION: => Could not perform signature verification. Cryptographic Service is not running. Poprzednie zadania wykonane. Tylko kosmetyka i drobne korekty na puste wpisy: 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 14 ActiveX, Bing Bar, Google Toolbar for Internet Explorer, Java 7 Update 67, OpenOffice.org 3.2. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-428840236-531340148-3836443965-1000\...\Run: [Ozi] => C:\Users\Janusz\AppData\Roaming\OziboxSync\OziBoxSync.exe HKU\S-1-5-21-428840236-531340148-3836443965-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird C:\Users\Janusz\AppData\Roaming\OziboxSync C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\Mozilla Thunderbird.lnk.Startup Folder: C:\ProgramData\WindowsSearch Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BITS" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Janusz^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Mozilla Thunderbird.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DU Meter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ooVoo.exe" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Innych logów nie potrzebuję.

Pokaż stronę domową programu i wymagania. Czy te "inne komputery" też są z XP, czy może z nowszymi systemami? Czy ten program jest instalowany u Ciebie po raz pierwszy, czy wcześniej już był i instalacja działała poprawnie? I co z deinstalacją SpyHunter? Podałam z Shortcut ścieżkę dostępu do skrótu deinstalacji: C:\Documents and Settings\Osia\Start Menu\Programs\SpyHunter\Uninstall.lnk

Zoek wykonał roboty deinstalacyjne, więc Fix-it Microsoftu już nie jest potrzebny. AdwCleaner wykrył ogromną ilość obiektów, wykazuje też ślady adware na profilu Rodzice. 1. Uruchom AdwCleaner ponownie, tym razem dobierz opcje Szukaj + Usuń. 2. Zaloguj się na konto Rodzice poprzez pełny restart systemu (a nie "Wyloguj" lub "Przełącz użytkownika") i zrób nowy log FRST z opcji Scan (zaznacz Addition, ale Shortcut nie jest już potrzebny).

Czy nie przypominasz sobie co robiłeś tuż przed ponownym pojawieniem się Surfvox - odwiedzenie określonej strony, pobranie i uruchomienie czegoś konkretnego? Tak jak poprzednio wszystko zostało pomyślnie usunięte. 1. Usuń pobrany FRST z H:\x. Następnie zastosuj DelFix. 2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Dostarcz raport, o ile coś zostanie wykryte.

1. Przejdź w Tryb awaryjny Windows i zastosuj Avira Registry Cleaner oraz AVG Remover. 2. Następnie wejdź w Tryb normalny i zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Skrypt został wykonany poprawnie, nie usuwał nic z dysku D - tylko z dysku C było usuwanie plików. Jeśli partycja zniknęła, jest to związane z czymś innym. W FRST Additon będzie rozpisany układ partycji. Podaj też zrzut ekranu z przystawki diskmgmt.msc.

Wszystko gładko poszło, za wyjątkiem jednego wpisu (bug FRST). Kolejna porcja zadań: 1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe C:\Program Files\AdTrustMedia C:\Program Files\Google C:\Program Files (x86)\1ClickDownload C:\Program Files (x86)\AdBlocknWatchu C:\Program Files (x86)\ExxsTriaSaviungs C:\Program Files (x86)\Zealot Software C:\ProgramData\AdBlocknWatchu C:\ProgramData\Adtrustmedia C:\ProgramData\c2d6b65770b43203 C:\ProgramData\COMODO C:\ProgramData\DAEMON Tools Lite C:\ProgramData\ExxsTriaSaviungs C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\Google C:\ProgramData\InstallMate C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\savensshaeRe C:\ProgramData\SoftSafe C:\ProgramData\Uniblue C:\Users\Wujo\AppData\Local\AdTrustMedia C:\Users\Wujo\AppData\Local\ChomikBox C:\Users\Wujo\AppData\Local\Chromium C:\Users\Wujo\AppData\Local\Lollipop C:\Users\Wujo\AppData\Local\Opera C:\Users\Wujo\AppData\Local\Opera Software C:\Users\Wujo\AppData\Local\The Witcher C:\Users\Wujo\AppData\Local\The Witcher 2 C:\Users\Wujo\AppData\Local\Torch C:\Users\Wujo\AppData\Local\womble C:\Users\Wujo\AppData\LocalLow\Google C:\Users\Wujo\AppData\LocalLow\SimplyTech C:\Users\Wujo\AppData\LocalLow\Temp C:\Users\Wujo\AppData\Roaming\*.dat C:\Users\Wujo\AppData\Roaming\mcp.ico C:\Users\Wujo\AppData\Roaming\LiveSupport.exe_log.TXT.itqjnld C:\Users\Wujo\AppData\Roaming\regsvr32.exe_log.TXT.itqjnld C:\Users\Wujo\AppData\Roaming\EurekaLog C:\Users\Wujo\AppData\Roaming\Gadu-Gadu 10 C:\Users\Wujo\AppData\Roaming\GoforFiles C:\Users\Wujo\AppData\Roaming\Google C:\Users\Wujo\AppData\Roaming\IrfanView C:\Users\Wujo\AppData\Roaming\Opera C:\Users\Wujo\AppData\Roaming\Opera Software C:\Users\Wujo\AppData\Roaming\Softland C:\Users\Wujo\AppData\Roaming\uTorrent C:\Users\Wujo\AppData\Roaming\YourFileDownloader CMD: for /d %f in (C:\Users\Wujo\AppData\Local\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Wujo\AppData\LocalLow\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom ServicesRepair. Po operacji zresetuj system i zrób nowy log z Farbar Service Scanner.

Ad "prosiłeś" = jestem kobietą. Wszystkie zalecenia wykonane. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. MBAM wykrył głównie szczątki reklamiarzy. Wszystkie wskazane w skanie obiekty do usunięcia za pomocą programu. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Nastąpiła zmiana i obecnie jest już najnowsza wtyczka ActiveX dla Internet Explorer: ==================== Installed Programs ====================== Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.257 - Adobe Systems Incorporated) Zadania pomyślnie wykonane. Tylko drobne korekty: 1. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 CMD: del /q "C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Czy są jeszcze jakieś problemy w systemie? Zadana pula akcji gładko wykonana, usługi Windows pomyślnie zrekonstruowane. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Niestety mam niedobre wieści. Deszyfracja plików jest niemożliwa. Opis infekcji i dyskusja: KEYHolder.

Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To archiwum logów. Bieżący log jest zawsze w tej samej lokalizacji skąd uruchamiano FRST - w tym przypadku katalog Pobrane. I nie odinstalowałeś SpyHunter - to jest program z czarnej listy. Chodzi o to, że plik skryptu i FRST mają siedzieć w tym samym folderze. Niby w nowym logu jest zmiana, tzn. wartość DhcpNameServer (pobierana z routera) wskazuje już adres routera. Ale wykonałeś dodatkowe polecenia, których nie zadałam - jest zmodyfikowana wartość NameServer (ustawienia po stronie Windows) na serwery Google. Serwery w Windows nas nie interesują, bo to nie tu jest problem. Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{58D1F063-6E9E-4A9E-94A1-DC27F83EB27E}: [NameServer] 8.8.8.8,8.8.4.4 Poproszę o zrzut ekranu konfiguracji routera pokazujący aktualne ustawienia DNS.

Zadanie ukończone zgodnie z planem. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle.

Nie, Dropbox jest OK w kontekście "szkodliwości". Z Dropboxem już było coś nie tak, gdy otrzymałam pierwsze logi - w pierwszym Shortcut prawie wszystkie skróty Dropbox były oznaczone jako "No file" (brak pliku). Dlatego też te wpisy usuwałam. Po prostu na każdym koncie z osobna "odinstalujcie" uszkodzony wpis i zainstalujcie Dropbox ponownie. Z zakresu czyszczenia systemu wszystko wykonane. Kończymy: Posuwaj ze wszystkich kont pobrane narzędzia. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. PS. Nie ma potrzeby dzielić wiadomości (skleiłam), w logach przecież widać z którego konta.

Fix wykonany. Natomiast wymagane poprawki będąc zalogowanym na konkretnym koncie: NA KONCIE BUMIDA: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {1B1B1377-758A-4FA7-9AC9-B81AAC31856D} URL = SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File Task: {3E5EBE54-6DDB-4C87-9658-6313218BF42B} - \avastBCLRestartS-1-5-21-3075525339-4195542920-1684508868-1002 No Task File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. NA KONCIE DARIUSZ: Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. Nie jest to problem infekcji. - Na początek upewnij się, że problemu nie tworzy Norton Internet Security, a weryfikacja nastąpi przy udziale pełnej deinstalacji. - Dodatkowo odinstaluj jeszcze stare wersje i zbędniki firmowe: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 MUI, ASUS WebStorage, Bing Bar, Google Toolbar for Internet Explorer. Po tym zrób nowy raport FRST (główny + Addition) i opisz czy są zmiany.

Zadania wykonane pomyślnie. Kolejne czynności: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\KSIEGOWY\AppData\Local\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, dostarcz raport.

Nadal nie odpowiedziałeś o jaki program Ci chodzi. Shortcut.txt podaje, że skrót deinstalacji jest w Menu Start: ShortcutWithArgument: C:\Documents and Settings\Osia\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Documents and Settings\Osia\Dane aplikacji\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh

Na koniec zastosuj DelFix (GMER dokasuj ręcznie), odinstaluj starą wtyczkę Adobe Flash Player 15 ActiveX oraz wyczyść foldery Przywracania systemu: KLIK.

1. AdwCleaner czepia się aplikacji Acer Updater. Fałszywy alarm, ale jest to owszem zbędnik i go po prostu w poprawny sposób odinstaluj. 2. Uruchom AdwCleaner ponownie, zastosuj sekwencję Szukaj + Usuń. Gdy ukończy działanie: 3. Otwórz Notatnik i wklej w nim: RemoveDirecrory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt.

W raporcie Farbar Service Scanner żadnych oznak dyskonfiguracji Przywracania systemu. Natomiast nowe logi nadal pokazują wpisy infekcji i szczątki adware. To właśnie z tego konta się inicjowała infekcja. Kolejne działania - wszystko w kontekście konta KSIEGOWY: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [YTVPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ektion\rvvbobqwdyjcc.dll HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [Ezztion] => regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ezztion\plc4.dll HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [bluetoothS] => rundll32.exe "%appdata%\BtvStack.dll",BTHF_Register URLSearchHook: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> 7B25F7A08463410AB1D6D9C86FEB050F URL = http://search.babylon.com/?q={searchTerms}&AF=100480&babsrc=SP_ss&mntrId=aa814c8600000000000064315023b703 SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2AE70A0E-39B8-48D4-9229-9E2C0E150E4B} URL = http://www.search.ask.com/web?p2=^ADN^OSJ000^YY^PL&gct=&itbv=12.0.1.100&o=APN10616&tpid=ORJ-V7&apn_uid=43BDBA54-CA96-429E-8979-478EFC4398ED&apn_ptnrs=ADN&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2013-10-11&trgb=IE&q={searchTerms}&psv= SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL = Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\35355970.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\57130876.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\35355970.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\57130876.sys => ""="Driver" C:\Users\Administrator\temp C:\Users\KSIEGOWY\AppData\Roaming\Babylon Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a C:\Users\KSIEGOWY\AppData\Local Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie nowy fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner. Klik w Szukaj (nie stosuj jeszcze Usuń) i dostarcz raport z C:\AdwCleaner. 2. Uruchom Zoek i w oknie wklej: Google Update Helper;u Shared C Run-time for x64;u Klik w Run Script i dostarcz wynikowy log. 3. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows.old Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt.

Skrypt wykonany. Na koniec: Usuń folder D:\Tools\FRST. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.