picasso

Jest tu definitywnie rootkit w obszarze rozruchowym dysku. Jego usuwanie ma priorytet. Dopiero po usunięciu aktywności rootkit będę mogła się zająć resztą infekcji (o ile otrzymam raporty FRST z poprawnego kontekstu konta) i naprawą masowo zdewastowanych przez ZeroAccess usług systemowych. Działania wstępne: 1. Uruchom TDSSKiller ponownie. Tym razem jednak dla wyniku Rootkit.Boot.Cidox pozostaw akcję domyślnie przyznaną przez narzędzie. Zresetuj system, by zatwierdzić leczenie. Po restarcie uruchom ponownie program, by sprawdzić czy już nic nie wykrywa. Dopiero wtedy: 2. Zaległy punkt ze świeżymi raportami FRST: PS. Komentując: Przypuszczalnie blokuje go bootkit. Dowiem się o tym z nowego raportu FRST Addition. To tylko ostrzeżenie. W Windows 7 biblioteki - niezależnie od ich natury, poprawne programy (przykład: COMODO) czy szkodniki - ładowane metodą AppInit_DLLs zawsze są notowane w Dzienniku w ten sposób. I ten błąd jest już nieaktualny. W poprzednim raporcie FRST brak widocznej modyfikacji AppInit_DLLs.

SpyHunter to program wątpliwej reputacji, z czarnej listy. Kwalifikacja do deinstalacji. System jest zainfekowany rootkitem Necurs, który zablokował większość sterowników systemu. To właśnie Necurs powoduje, że GMER ma nieaktywne opcje. Prócz Necurs są inne śmieci, ale póki rootkit nie zostanie zdjęty, nie przejdę dalej. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć obiekt Rootkit.Win32.Necurs.gen - zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller.

Zasady działu wspominają na temat "odświeżania", post poleciał do kosza. System już jest zabrudzony, ale to nie jest związane z: Od razu skomentuję, że produkty IOBit nie są przeze mnie polecane na forum ze względu na złą reputację producenta (kradzież bazy MBAM w przeszłości, podejrzane związki partnerskie, adware w instalatorach) i sugeruję ich deinstalację. Advanced System Care zgłasza brak własnego pliku, który powinien być w następującej lokalizacji: C:\Program Files (x86)\IObit\Advanced SystemCare 7\scan.dll. Czy plik w ogóle jest na dysku? Jeśli pliku nie ma, to był jakiś błąd instalacji. Jeśli plik jest, to nie wiem o co chodzi. Poza tym, log sugeruje piracką instalację, bo w pobranych jest poniższy folder. Problemem może być więc ta szczególna scrackowana paczka. Piratami nie mogę się zajmować. 2015-01-09 18:28 - 2014-12-17 17:29 - 00000000 ____D () C:\Users\Cezary\Downloads\Advanced SystemCare Pro 7.4.0.474 Full PL Widzę że próbując rozwiązywać usterkę zainstalowałeś wątpliwy program DLL-Fixer - takimi "wynalazkami" to można sobie jeszcze bardziej pogorszyć sprawę, a już zwłaszcza na systemie x64. Powyższy problem błędu ASC nie jest problemem infekcji, ale jest tu czym się zajmować. System jest zabrudzony instalacjami adware (proces WindowsMangerProtect, sterownik {fe331f63-d0ef-486b-89da-478e619996a9}Gw64, przekierowania isearch.omiga-plus.com i szczątki "Ace race"). Metody nabycia: KLIK. Działania wstępne: 1. Na początek odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe Reader 9, Dll-Files Fixer, Java™ 6 Update 22, SmartView for IE, SmartView Software Updater. Tę starą dziurawą niebezpieczną Java wstawił JDownloader - niestety jest prawdopodobne, że nie działa z najnowszą bezpieczną Java 7 lub 8. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {fe331f63-d0ef-486b-89da-478e619996a9}Gw64; C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys [48784 2015-01-11] (StdLib) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] S2 Update ace race; "C:\Program Files (x86)\ace race\updateacerace.exe" [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKU\S-1-5-21-2670501369-349292536-2203195984-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-2670501369-349292536-2203195984-1000\...\Run: [zASRockInstantBoot] => [X] Task: {BAE81688-6D8C-4632-84D4-CFD2CDFCD7AB} - System32\Tasks\{3BBC28ED-7713-414E-AB1A-EDA1981220AB} => C:\Users\Cezary\Downloads\windows-xp-sp3-pl-9w1-ie8-wmp11-dx-net-final-full-kwiecien-2014-iso\Windows.XP.SP3.PL.9w1.IE8.WMP11.DX.NET.FINAL.FULL.Kwiecien.2014-NiKKA.iso\DODATKI\Jak.nagrac.instalator.XP.na.USB\WinSetupFromUSB-1-4\WinSetupFromUSB_1-4_x64.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819&q={searchTerms} SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> {6F34B546-7B9E-452e-9D55-736986ACC34B} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} Toolbar: HKU\S-1-5-21-2670501369-349292536-2203195984-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420985861&from=cor&uid=WDCXWD5000AAKS-007AA0_WD-WCATR837981979819" C:\Program Files (x86)\ace race C:\Program Files (x86)\Temp C:\ProgramData\Norton C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Cezary\AppData\Local\Symantec C:\Users\Cezary\AppData\Roaming\omiga-plus C:\Users\Cezary\AppData\Roaming\Solvusoft C:\Users\Cezary\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Games.lnk C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys C:\Windows\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE: Shortcut: C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Cezary\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Temat przenoszę, na razie do działu Windows. To nie jest problem infekcji. A kosmetyki nie będę prowadzić, gdyż na razie nie ma sensu. 1. Zwracają tu uwagę mocarne instalacje oprogramowania zabezpieczającego (Avast + COMODO Internet Security), GMER jest wprost wytapetowany inwazyjnymi czynnościami delikwentów. Te elementy najprędzej można powiązać z problemami z ładowaniem systemu. Na dodatek w Dzienniku zdarzeń nagrane błędy COMODO: Application errors: ================== Error: (12/07/2014 04:29:29 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd cmdagent.exe, wersja 7.0.55655.4142, moduł powodujący błąd cmdurlflt.dll, wersja 7.0.53315.4132, adres błędu 0x001b105e. Przetwarzanie zdarzenia określonego nośnika dla [cmdagent.exe!ws!] Error: (12/01/2014 00:01:28 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd cmdagent.exe, wersja 7.0.55655.4142, moduł powodujący błąd cmdurlflt.dll, wersja 7.0.53315.4132, adres błędu 0x001b105e. Przetwarzanie zdarzenia określonego nośnika dla [cmdagent.exe!ws!] Error: (11/26/2014 08:58:26 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd launcher.exe, wersja 26.0.1656.24, moduł powodujący błąd launcher_lib.dll, wersja 0.0.0.0, adres błędu 0x00014f40. Przetwarzanie zdarzenia określonego nośnika dla [launcher.exe!ws!] 2. Ale wspominasz i autoresetach. Diagnostyka rozpisana w punkcie 5 ogłoszenia: KLIK. Dziennik zdarzeń pokazuje różne kody, co może sugerować nawet istnienie problemu sprzętowego: System errors: ============= Error: (12/26/2014 01:28:47 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000008e, parametr 1 c0000005, parametr 2 bf85fc9e, parametr 3 b6fe8ae4, parametr 4 00000000. Error: (12/26/2014 01:28:20 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 1000000a, parametr 1 00000004, parametr 2 0000001c, parametr 3 00000000, parametr 4 804fa2b7. Error: (12/26/2014 01:28:11 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 10000050, parametr 1 b6134792, parametr 2 00000000, parametr 3 bf85fc9e, parametr 4 00000000. Nie podałeś w ogóle raportu pokazującego o jakie pliki chodzi. Ale od razu powiem, że w systemie są obiekty do których antywirus nie uzyska dostępu (np. plik pamięci wirtualnej).

To nie jest problem infekcji. Temat przenoszę, na razie do działu Hardware a nie Sieci. Dostarcz raporty wymagane działem: KLIK. Powodem takiej lokalizacji tematu jest niezadawalająca szybkość po czystym stawianiu systemu i seria błędów z Dziennika, wśród nich m.in. rekordy z \Device\Ide\iaStor: Application errors: ================== Error: (01/13/2015 07:45:06 PM) (Source: Microsoft-Windows-Defrag) (EventID: 257) (User: ) Description: Wolumin (C:) nie został zdefragmentowany, ponieważ wykryto błąd: Ten element już istnieje w tabeli. Wszystkie pozycje w tabeli muszą być unikalne. (0x89000014) System errors: ============= Error: (01/13/2015 03:51:24 PM) (Source: DCOM) (EventID: 10005) (User: ) Description: 1053AvastVBoxSvc{F319F1B8-7587-4146-AF9C-0D6D77819BF1} Error: (01/13/2015 03:51:15 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AvastVBox COM Service z powodu następującego błędu: %%1053 Error: (01/13/2015 03:51:14 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą AvastVBox COM Service. Error: (01/13/2015 03:50:25 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 15:42:17 na ‎2015-‎01-‎13 było nieoczekiwane. Error: (01/13/2015 03:40:25 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. Error: (01/13/2015 03:38:59 PM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! Error: (01/13/2015 03:40:48 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 14:51:54 na ‎2015-‎01-‎13 było nieoczekiwane. Error: (01/13/2015 10:58:25 AM) (Source: DCOM) (EventID: 10010) (User: ) Description: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623} Error: (01/12/2015 11:18:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (01/12/2015 07:34:38 PM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. PS. Czy W Google Chrome masz włączoną synchronizację ustawień z serwerem? Czysty Windows po instalacji a Chrome już otwiera przy starcie adresy adware: CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420841983&from=cor&uid=WDCXWD7500BPVT-35HXZT1_WD-WXB1A916286462864", "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420842015&from=cor&uid=WDCXWD7500BPVT-35HXZT1_WD-WXB1A916286462864" Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpiemia adresu isearch.omiga-plus.com. I jeśli synchromizacja jest włączona, to wyczyszczenie tych ustawień na nic = wrócą, trzeba ubić synchronizację. Poza tym, może problemem jest tu właśnie ścąganie na dysk z serwera starej konfiguracji Chrome? Z drugiej strony wspominasz, że były problemy także przy IE.

Tytuł tematu poprawiam, przecież w zasadach wspominam, że "sprawdzanie logów" to nie jest problem i należy tytuł dopasować do tego co się dzieje w systemie. Sprecyzuj o co chodzi z niedziałającym antywirusem i jakie komunikaty "braku biblioteki DLL" widzisz przy starcie. Avira jest zresztą stara i będzie wyrzucana. Oznak czynnej infekcji brak, tylko drobne szczątki adware. Działania wstępne: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje, zbędniki i śmieci: Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 12.0, AVG Security Toolbar, Avira Free Antivirus, Qtrax Playe, RegClean Pro. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchrocket.info/?l=1&q={searchTerms}&pid=658&r=2013/05/28&hid=1768654365&lg=EN&cc=PL&unqvl=16 SearchScopes: HKU\S-1-5-21-1194177866-3309166739-1519727253-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=7C1574DE2B87FF26&affID=119357&tt=160713_91114&tsp=4946 SearchScopes: HKU\S-1-5-21-1194177866-3309166739-1519727253-1002 -> {E47533BC-0DE5-4132-941E-40CB951B4169} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.21.0.114&apn_uid=1651BE8E-6D7F-41EC-AB11-3C620466E3E4&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17496&doi=2014-12-12&trgb=IE&q={searchTerms}&psv=&pt=tb BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\ssv.dll No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: Super Lyrics -> {B9020890-9E08-446B-87B0-0C5CD0436D86} -> C:\Program Files (x86)\Super_Lyrics\116.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File FF Plugin-x32: @java.com/DTPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\dtplugin\npDeployJava1.dll No File FF Plugin-x32: @java.com/JavaPlugin,version=11.25.2 -> C:\Program Files (x86)\Java\jre1.8.0_25\bin\plugin2\npjp2.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.) FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\15.3.0.11 FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\plugins Task: {4996E31B-3608-4E40-857D-B0E33301C72A} - System32\Tasks\{0FD24AFF-7715-4A45-A791-A5C4A7C3CBDE} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {7EB54BB1-FFC0-4170-B2F4-151B55AA3A73} - System32\Tasks\{8F83EEAD-3D28-4445-AC2E-04A0ABE64CBD} => pcalua.exe -a E:\setup.exe -d E:\ Task: {8551B7BE-83D2-4C39-8A07-87A28FD354C2} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {9E7DCF22-9B7F-4DCC-A19F-2734C696C354} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-12] (Google Inc.) Task: {AC5C4D70-EC1A-4257-888A-194486F97F97} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-12] (Google Inc.) Task: {CE18AB16-2E91-45E1-A5DF-A5165D9AB334} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{920094DA-2B12-473B-8F3E-CBDBE84D5568}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{920094DA-2B12-473B-8F3E-CBDBE84D5568}.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS\ASUS Splendid Utility C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\Users\Berta\AppData\Roaming\ASUS WebStorage C:\Users\Berta\AppData\Roaming\Babylon C:\Users\Berta\AppData\Roaming\DSite C:\Users\Berta\AppData\Roaming\Gadu-Gadu 10 C:\Users\Berta\AppData\Roaming\OpenCandy C:\Users\Berta\AppData\Roaming\PerformerSoft C:\Users\Berta\AppData\Roaming\Systweak C:\Users\Berta\AppData\Roaming\TP C:\Users\Berta\AppData\Roaming\TuneUp Software C:\Users\Berta\AppData\Roaming\YoWindow C:\Users\Public\Desktop\AsusTools\Entertainment\Game Park Console.lnk C:\Users\Public\Desktop\AsusTools\Network\ASUS WebStorage.lnk C:\Users\Public\Desktop\AsusTools\System tool\Splendid Utility.Lnk C:\Users\Public\Desktop\AsusTools\Word processor\Nuance PDF Reader.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\APNMCP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BBSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater15.3.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nuance PDF Reader-reminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f CMD: sc delete gupdate CMD: sc delete gupdatem CMD: sc delete gusvc CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Korekty kosmetyczne na wpisy odpadkowe / puste: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {1B5412C3-AE00-4ED3-9BED-9BC835CD5794} - System32\Tasks\{47A33EC2-46E0-4F2D-8F37-AEBA2805C67F} => pcalua.exe -a "E:\Pliki instalacyjne\RadioSure-2.2.1042-setup.exe" -d "E:\Pliki instalacyjne" Task: {344D3F6D-159B-4A7F-8CA9-77EDC1058215} - System32\Tasks\{7A89BFE7-6C1C-4902-A560-8661A1BFF68F} => pcalua.exe -a G:\OriginInstaller.exe -d G:\ Task: {70934480-2C71-49F6-B96D-FCDAD1588DC1} - System32\Tasks\{35A02743-9A84-46CB-B9C1-A754B96E3422} => pcalua.exe -a "E:\Pliki instalacyjne\TagesSetup.exe" -d "E:\Pliki instalacyjne" Task: {72739D77-AE0C-4283-A584-35A573A262C6} - \SPBIW_UpdateTask_Time_313338323736313139352d3437415a556c2a3223346c41 No Task File Task: {A10B48EA-4729-4EBA-A623-5B540BD31B92} - System32\Tasks\CJVW => D:\Users\dom\AppData\Roaming\CJVW.exe Task: {E977AB5D-13A5-409F-95FE-93DA21C4E51A} - System32\Tasks\KOO => D:\Users\dom\AppData\Roaming\KOO.exe Task: C:\Windows\Tasks\CJVW.job => D:\Users\dom\AppData\Roaming\CJVW.exe Task: C:\Windows\Tasks\KOO.job => D:\Users\dom\AppData\Roaming\KOO.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2821332150-970914226-2612375139-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {AF949550-9094-4807-95EC-D1C317803333} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A777-2BD8835EB6CE} - No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A333-2BD8835EB6CE} - No File Toolbar: HKU\S-1-5-21-2821332150-970914226-2612375139-1004 -> No Name - {D2BF470E-ED1C-487F-A666-2BD8835EB6CE} - No File FF StartMenuInternet: FIREFOX.EXE - firefox.exe S2 ASPI32; No ImagePath S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] D:\Users\dom\AppData\Local\~wmrg D:\Users\dom\AppData\Roaming\CJVW D:\Users\dom\AppData\Roaming\KOO D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - specify a password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\Camouflage File - use standard password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - specify a password.lnk D:\Users\dom\AppData\Roaming\Microsoft\Windows\SendTo\De-Camouflage File - use standard password.lnk D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\krhltvqw.default-1399131589036 D:\Users\dom\AppData\Roaming\mozilla\firefox\profiles\n16fgeh3.default-1398884467910 D:\Users\dom\AppData\Roaming\Opera D:\Users\dom\AppData\Roaming\QuickScan Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax_RESTART" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Tray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUs Watch" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: copy /y D:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\ddp0ksvy.default-1399131752396\prefs.js D:\Users\dom\Desktop\prefs.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox jest dużo śmieciarskich preferencji oraz staroci sprzed aktualizacyjnych. Poza tym, układ uszkodził ... AdwCleaner - wywalił kilka poprawnych rozszerzeń. Jest obecnie bug w AdwCleaner powodujący, że jeśli jest uruchamiany z innego dysku niż C usuwa poprawne rozszerzenia z przeglądarek. Najlepszy sposób na wyczyszczenie tego bajzlu to: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie obecnie zainstalowane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, Classic Theme Restorer, Click to Play per-element, Element Hiding Helper for Adblock Plus, Session Manager, Stylish). Masz zainstalowany MozBackup - nie próbuj go używać do przywracania poprzednio zrobionych kopii, bo wszystko odwrócisz. Po wyczyszczeniu FF należy zrobić nową świeżutką kopię. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę D:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NaPulpicie powstał plik prefs.js - shostuj go gdzieś i podaj link do niego.

Niestety Fix FRST się nie wykonał. "Sknociłaś" format skryptu, przeklejając go usunęłaś jakimś cudem wszystkie ukośniki.... Np. w moim skrypcie jest: Task: {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe A u Ciebie: Task {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32Tasks6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 = CProgram Files (x86)Sense6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe ==== ATTENTION 1. Jeśli chodzi o błędy narzędzia Fix-it, to zastępczo uruchom Zoek. W oknie wklej: Google Update Helper;u Shared C Run-time for x64;u Klik w Run Script. Przedstaw wynikowy log. 2. Punkty 2 + 3 z poprzedniej instrukcji do powtórzenia.

To wygląda po prostu na fałszywe alarmy Avast. Wszystkie moje zalecenia pomyślnie wykonane. Tak więc czy są jeszcze jakieś problemy z systemem? Drobne poprawki - otwórz Notatnik i wklej w nim: HKLM\...\Run: [EeeStorageBackup] => C:\Program Files (x86)\ASUS\Asus WebStorage\BackupService.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\Joanna\Downloads\igl233m6.exe CMD: C:\Users\Joanna\Downloads\ComboFix.exe /uninstall Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix. Zaprezentuj wynikowy fixlog.txt.

Nie rozumiem pytania. Jeśli chodzi o AdwCleaner: nie zalecałam pobierania i uruchamiania AdwCleaner w międzyczasie. Szyki mi popsułeś, pewne dane pobrane w Fixlog już są nieaktualne. Zadanie AdwCleaner było planowane w innym punkcie czasowym, już po pewnych korektach. Poprawki: 1. Nie wykonałeś tego zadania i to nadal aktualne: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files\Enigma Software Group C:\Program Files\Java C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\Ahead C:\Program Files (x86)\Halycon Media C:\Program Files (x86)\INTERIAPL C:\Program Files (x86)\Java C:\Program Files (x86)\Mplayer C:\Program Files (x86)\NetMeter C:\Program Files (x86)\Opera C:\Program Files (x86)\QuickTime C:\Program Files (x86)\SweetPacks C:\Program Files (x86)\top_netinfo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\(Default) C:\Users\Niiesmiertelny\AppData\Local\Ares C:\Users\Niiesmiertelny\AppData\Local\Facebook C:\Users\Niiesmiertelny\AppData\Local\Opera Software C:\Users\Niiesmiertelny\AppData\Local\WMTools Downloaded Files C:\Users\Niiesmiertelny\AppData\LocalLow\Sun C:\Users\Niiesmiertelny\AppData\LocalLow\Temp Tcpip\Parameters: [DhcpNameServer] 81.162.208.2 208.67.222.222 Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a C:\ProgramData EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Nie podałeś pliku fixlog.txt, który miał wykazać czy zadania się wykonały. A coś tu jednak nie do końca przetworzone. Drobne poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\RunOnce: [ALLPlayer Remote Update] => C:\Users\Dorota\AppData\Local\Temp\ALLRemote.exe [1961744 2015-01-12] (ALLPlayer ) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

Proponuję przeinstalować Google Chrome od zera. 1. Odinstaluj za pomocą Panelu sterowania. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Zainstaluj najnowszą stabilną wersję: KLIK.

Na przyszłość: zamknięcie raportu nie powoduje jego usunięcia z dysku, zaś ponowne uruchomienie narzędzia nadpisuje obecny na dysku raport i niestety poprzednie akcje są nieznane. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Tytuł tematu dostosowuję do zagadnienia zasadniczego. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Pierwszy podejrzany widoczny w raportach: COMODO Internet Security. Na próbę odinstaluj (tylko to gwarantuje odcięcie wszystkich aktywności) i sprawdź jakie to będzie mieć skutki. Po akcji zrób nowe raporty FRST na ustawieniach domyśnych (nie wyłączaj Whitelist jak to zrobiłeś tu w temacie) - główny + Addition. Addition jest po to by sprawdzić czy nadal będzie notowany problem z WMI: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. PS. Jeśli chodzi o te statusy "Locked" i "Unknown", które samoczynnie ustąpiły, to nie jest wykluczone, iż przyczyna także tkwi w COMODO, bo co dopiero widziałam log z zainstalowanym COMODO wykazujący te same cechy.

Wszystko zrobione. Jeszcze drobna poprawka, gdyż pliki fałszywego skryptu "Origin" były w katalogach dwóch różnych kont i przez nieuwagę pominęłam jeden z nich. Otwórz Notatnik i wklej w nim: C:\Users\User\AppData\Roaming\Origin\update.vbe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Sukces akcji. Uruchom AdwCleaner, wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarczwynikowy log z folderu C:\AdwCleaner.

Operacje pomyślnie przeprowadzone. Uruchom AdwCleaner, wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

OTL nie jest już wymaganym raportem - wczoraj zostały zaktualizowane zasady działu. Oba tematy sklejam razem. Problem Surfvox został poprzednio rozwiązany. Skoro wrócił, to prawdopodobnie pobrałeś coś co go uruchamia. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Run: [nvxasync] => C:\Users\Marcinek\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2015-01-13] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2015-01-13] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 Task: {302F5EA3-1B20-446E-B433-8C2B4CDE2257} - System32\Tasks\{DBDD05BB-8B6B-480C-94E6-9E36F5085CA4} => pcalua.exe -a C:\Windows\unvise32.exe -d C:\Windows -c C:\PROGRA~2\TRAPCO~1.LOG C:\END C:\ProgramData\nvxasync C:\ProgramData\RWBYTE C:\Users\Marcinek\AppData\Roaming\fpacked.exe C:\Users\Marcinek\AppData\Roaming\fportable C:\Users\Marcinek\AppData\Roaming\nvxasync C:\Users\Marcinek\AppData\Roaming\mozilla\firefox\profiles\d7zv33sz.default C:\Users\Marcinek\AppData\Local\Google\Chrome\User Data\Default\Preferences Folder: C:\Users\Marcinek\Documents\Diablo III Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Podaj w czym - konkretna ścieżka dostępu. Jedynie mogę się domyślać, że Avastowi chodzi o zadania "Installer" od adware uruchamiane via Harmonogram zadań: Task: {55763B9D-76EB-4904-AD72-D3F464B4D183} - System32\Tasks\Installer_iwebar => C:\Users\Miszczunio\AppData\Local\Installer\Installiwebar_23930\ins_postInst.exe [2015-01-12] () Task: {9F5FD094-6984-4129-8771-65E71A60F989} - System32\Tasks\Installer_sense => C:\Users\Miszczunio\AppData\Local\Installer\Installsense_23930\ins_postInst.exe [2015-01-12] () Druga sprawa: był używany skaner SpyHunter. Jest to wątpliwy program z czarnej listy, reklamiarz. Z daleka od niego. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2FE566C4-5931-46D4-B06C-8EA732AD0DB1} - System32\Tasks\{E8E287BC-ECDB-4804-B02B-84BB70D6C027} => pcalua.exe -a "C:\Program Files (x86)\Windows Live\Installer\wlarp.exe" Task: {47337DF6-9982-4524-8D09-835B7E6C8619} - System32\Tasks\{90215CF2-D67F-4DC1-9A29-D82C584DECAA} => pcalua.exe -a D:\Karaoke\vkaraoke.exe -d D:\Karaoke Task: {55763B9D-76EB-4904-AD72-D3F464B4D183} - System32\Tasks\Installer_iwebar => C:\Users\Miszczunio\AppData\Local\Installer\Installiwebar_23930\ins_postInst.exe [2015-01-12] () Task: {9F5FD094-6984-4129-8771-65E71A60F989} - System32\Tasks\Installer_sense => C:\Users\Miszczunio\AppData\Local\Installer\Installsense_23930\ins_postInst.exe [2015-01-12] () Task: {DC0769FC-1A57-4994-A45B-46CA810A45C2} - System32\Tasks\{DC414A52-23D2-4D9D-BEC5-9E031B79487D} => pcalua.exe -a C:\Users\Miszczunio\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor HKLM-x32\...\Run: [gmsd_pl_23] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-3970645344-2820115692-2108947873-1001 -> {3BB91A49-01AB-4EB5-A066-C31ED0DF2636} URL = FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF Plugin HKU\S-1-5-21-3970645344-2820115692-2108947873-1001: intel.com/AppUp -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Gadu-Gadu C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Temp C:\Users\Miszczunio\AppData\Local\CrashRpt C:\Users\Miszczunio\AppData\Local\Installer C:\Users\Miszczunio\AppData\Local\Google C:\Users\Miszczunio\AppData\Local\Opera Software C:\Users\Miszczunio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter C:\Users\Miszczunio\AppData\Roaming\Opera Software C:\WINDOWS\4FC9DA9DF608454E8191D7EFFDCC5726.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Wszystko zrobione. Kończymy: 1. Odinstaluj stare wersje Adobe i Java: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.246 - Adobe Systems Incorporated) ----> wtyczka dla IE Java 7 Update 55 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.550 - Oracle) Java SE Development Kit 7 Update 45 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0170450}) (Version: 1.7.0.450 - Oracle) Java SE Development Kit 7 Update 45 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0170450}) (Version: 1.7.0.450 - Oracle) 2. Usuń używane narzędzie z folderu C:\scan. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Hola VPN - instalacja nieglobalna lecz dla każdej przeglądarki z osobna, więc np. możesz wybrać tylko wersję dla Firefox. Akcje pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_5; system32\drivers\ccnfd_1_10_0_5.sys [X] Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f CMD: del /q C:\Users\user\Downloads\lem86rpe.exe CMD: del /q C:\Users\user\Downloads\KB3024777-*.exe CMD: del /q C:\Users\user\Downloads\setup.exe RemoveDirectory: C:\FRST\Logs RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\user\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Lollipop i SN.Sustainer 1.80 dokończę ręcznie. Jaki jest problem z narzędziem Microsoftu? Poprawki: 1. Zadałam operację: Chodziło o profil o nazwie "Domyślny": Chrome: ======= CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (savve net) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\gankhfboiaaibmeonaimkaghepaolbml [2014-08-24] CHR Extension: (YoutubeAdblocker) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhelllenlhpkgmjmffnlliinikejnmdl [2014-08-24] CHR Extension: (Surftastic) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkbhmdcccmdakmgaaejjjgllahmljpge [2014-11-26] CHR Extension: (Cut and Paste) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmgagnmbebdebebbcleklifnobamjonh [2014-08-24] CHR Extension: (Widget context) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\ombmmloebnfnpehgjnmkcgoegfachobp [2014-04-18] CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 4 CHR Extension: (Angry Birds) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj [2014-12-21] CHR Extension: (Google Wallet) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-01-09] Natomiast Ty skasowałeś profil powiązany z katalogiem "Profile 4" i obecnie jest "Profile 7": Chrome: ======= CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (savve net) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\gankhfboiaaibmeonaimkaghepaolbml [2014-08-24] CHR Extension: (YoutubeAdblocker) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhelllenlhpkgmjmffnlliinikejnmdl [2014-08-24] CHR Extension: (Surftastic) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkbhmdcccmdakmgaaejjjgllahmljpge [2014-11-26] CHR Extension: (Cut and Paste) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmgagnmbebdebebbcleklifnobamjonh [2014-08-24] CHR Extension: (Widget context) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default\Extensions\ombmmloebnfnpehgjnmkcgoegfachobp [2014-04-18] CHR Profile: C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 7 CHR Extension: (Docs) - C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions\aohghmighlieiainnegkcijnfilokake [2015-01-10] Sprawdź ponownie czy jesteś w stanie usunąć ten pierwszy profil z poziomu opcji Google. Jeśli nie, i tak go wykończy mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 stdmfpam; \??\C:\Program Files (x86)\HomeTab\stdmfpam.dll [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\DefaultTab C:\Program Files (x86)\Java C:\Program Files (x86)\SupTab C:\Program Files (x86)\Surftastic C:\Program Files (x86)\WinZipper C:\ProgramData\InstallMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Skrzyżowania\Deinstalacja programu Skrzyżowania.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Skrzyżowania\Skrzyżowania.lnk C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data\Default C:\Users\Igor Maj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Garrys Mod.lnk C:\Users\Igor Maj\AppData\Roaming\sweet-page C:\Users\Igor Maj\Desktop\plik\Adobe Reader X*.lnk C:\Users\Igor Maj\Desktop\plik\Registry Washer.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Play League of Legends.lnk C:\Users\Igor Maj\Desktop\plik\ulubione\WebStorage Sync Agent.lnk C:\Users\Igor Maj\Desktop\plik\ASUS\Business tool\Adobe Reader X.lnk C:\WINDOWS\SysWOW64\AI_RecycleBin Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{1a34a8e0} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop_04192045 /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Igor Maj\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Igor Maj\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Igor Maj\AppData\Local" CMD: dir /a "C:\Users\Igor Maj\AppData\Local\Google\Chrome\User Data" CMD: dir /a "C:\Users\Igor Maj\AppData\LocalLow" CMD: dir /a "C:\Users\Igor Maj\AppData\Roaming" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. 3. Zrób nowe logi: - FRST z opcji Scan (bez Addition i Shortcut). - Uruchom Zoek > More Options > jako jedyną opcję zaznacz Installer List > Run Script. Dołącz też plik fixlog.txt.

Ale co to znaczy "nie umiem", gdzie jest trudność? Przecież jest opis obrazkowy i już prościej się nie da tego wytłumaczyć: KLIK. Gdzie leży problem?

Proszę nie pisz posta pod postem (sklejam), odpowiadam gdy mogę. 1. Nie wiem o co chodzi, ale nadal widać zalogowane trzy profile, mimo że konta są oznaczone jako "wyłączone": Loaded Profiles: Marek & Administrator & Gość (Available profiles: Marek & Administrator & Gość) ========================= Accounts: ========================== Administrator (S-1-5-21-3384552037-1150880392-2470578842-500 - Administrator - Disabled) => C:\Users\Administrator Gość (S-1-5-21-3384552037-1150880392-2470578842-501 - Limited - Disabled) => C:\Users\Gość 2. Co masz na myśli mówiąc "problem ze znikającymi rejestrami jest nadal" - jakimi rejestrami, czy chodzi o logi FRST? W obecnej sytuacji nie wykluczam tu problemu tworzonego przez COMODO Internet Security. Przykładowy temat z forum pokazujący COMODO blokującego zapis plików: KLIK. Prócz problemu z zapisem plików jeszcze widzę następujące błędy w Addition: ==================== Restore Points ========================= Could not list restore points. Check "winmgmt" service or repair WMI. ==================== Event log errors: ========================= Could not start eventlog service, could not read events. Wystąpił błąd systemu 123. Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna. Te błędy prawdopodobnie oznaczają utracone uprawnienia do katalogu C:\Windows\System32\LogFiles\WMI\RtBackup, jak w tym temacie: KLIK. Z tym że ponownie: to COMODO Internet Security może tworzyć problem i blokować dostęp. 3. Jeśli chodzi o problem z Google Chrome, to reset przeglądarki niestety nie wystarczy. Adware przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja od zera, gdyż obecnie masz wersję która przepuszcza adware (brak limitacji charakterystycznych dla wersji stabilnej). Na dysku są też nadal foldery adware. Działania wstępne: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj poszkodowaną przeglądarkę, stare wersje i śmieci: Acrobat.com, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.3), Adobe Shockwave Player 11.5, Google Chrome, Java 7 Update 55, Mozilla Firefox 7.0.1 (x86 pl), OpenOffice.org 3.2, Qtrax Player. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, wybierz podobną opcję przy usuwaniu Firefox, a resztę składników przeglądarek dokasuje mój skrypt poniżej. - Jest tu też zainstalowany i uruchamiany wątpliwy program z czarnej listy SpyHunter. Deinstalator jest z kolei w Menu Start: ShortcutWithArgument: C:\Users\Marek\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Marek\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh 2. Podczas tej operacji COMODO musi być wyłączony, gdyż przeszkodzi FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [DivXMediaServer] => C:\Program Files\DivX\DivX Media Server\DivXMediaServer.exe HKLM\...\Run: [PrivDogService] => "C:\Program Files\AdTrustMedia\PrivDog\2.2.0.14\trustedadssvc.exe" HKLM\...\Run: [ComodoFSChrome] => "C:\Program Files\AdTrustMedia\PrivDog\FinalizeSetup.exe" /c HKU\S-1-5-19\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter HKU\S-1-5-20\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [] => [X] HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [Tohehx] => C:\Users\Marek\AppData\Roaming\Tohehx.exe HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Marek\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-3384552037-1150880392-2470578842-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[s2].txt [13120 2014-12-12] () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000 -> {A4FEDA48-202C-4982-83BA-F01E749AC1B7} URL = CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.2.183.23\goopdate.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Marek\Desktop\GRAPH\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-K (the data entry has 14 more characters). CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3384552037-1150880392-2470578842-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Marek\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File Task: {B1E55DFD-CC82-47CD-AF2E-E95A4F5742F6} - System32\Tasks\{19D56749-BA68-4D9A-B467-A09D43AACDA3} => pcalua.exe -a C:\Users\Marek\AppData\Roaming\BabSolution\Shared\GUninstaller.exe -c -key "Delta Chrome Toolbar" -rmkey -rmbus "Delta Chrome Toolbar" -ask HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06173350.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06173350.sys => ""="Driver" U3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] U0 sr; No ImagePath U3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] C:\Program Files\Google C:\ProgramData\bkoajonbmaikoaihmbpmffamkhhonjbg C:\ProgramData\oeddbicmfjcimgjjmffjbcgeahippekc C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced PDF Password Recovery C:\Users\Marek\AppData\Local\cache C:\Users\Marek\AppData\Local\Google C:\Users\Marek\AppData\Local\Mozilla C:\Users\Marek\AppData\Roaming\*.exe C:\Users\Marek\AppData\Roaming\Mozilla C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-KTR.lnk C:\Users\Marek\Desktop\BigTitsAtSchool 14 02 17 Anissa Kate French Exam XXX REPACK 1080p MP4-KTR.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Nazwy plików FRST wskazują, że je wyciągasz z C:\FRST\Logs - to archiwum logów. Bieżący log jest zawsze w lokalizacji skąd uruchamiano FRST, w tym przypadku: C:\Documents and Settings\MCU\Moje dokumenty\Pobrane. W podanych tu raportach nie ma żadnych oznak infekcji trojanami, jest tylko adware (Mobogenie i kilka innych). Przedstaw gdzie uprzednio był wykrywany ów "Trojan Dropper" oraz co wykrywał antywirus znajomej (jakie nazwy zagrożeń i w jakich plikach). Przy braku jawnych śladów infekcji na Twoim komputerze na razie widzę tu dwie możliwości: - Tylko pendrive jest zainfekowany. Czy został on sformatowany? - To komputer znajomej jest zainfekowany i podpięcie Twojego pendriva go zainfekowało, a antywirus zareagował przy próbie infekowania urządzenia.