picasso

Brak oznak czynnej infekcji. Są owszem ślady infekcyjne, m.in. niedokładnie wyczyszczony trojan ZeroAccess i inne elementy, ale to bardzo stare sprawy. Wszystko w stanie odpadków i nie ma wpływu na system. FRST zatrzymuje się na skanie dziennika zdarzeń Office i to nie ma związku z infekcjami. Jeśli obecnie jest problem z szybkością systemu, to nie jest to wynik infekcji. Zamulać może ... Kaspersky Internet Security. Pod kątem usuwania odpadków: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-20\...\Run: [Windows Service Manager] => "C:\ProgramData\Windows Service Manager0\iflmnkfrd.exe" HKU\S-1-5-20\...\RunOnce: [Windows Service Manager] => C:\ProgramData\Windows Service Manager0\iflmnkfrd.exe HKU\S-1-5-21-2480669067-1689513114-446732452-1001\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2480669067-1689513114-446732452-1001\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-2480669067-1689513114-446732452-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms} Task: {16BDFAD8-5042-41EA-A662-A6943B880DB8} - System32\Tasks\{5781AA27-B10E-4DE0-8548-AE4238E09C73} => D:\DreamWorks Interactive\Neverhood\WAVistaWin7.exe Task: {4EDA69D1-0BE9-4C25-88B5-72745347B9F7} - \{945A746E-0F50-4F38-87B9-E59D39492DD1} No Task File Task: {9DB5E208-BD34-4B69-8552-97D114CD0D84} - System32\Tasks\{44F63ECA-B9FC-4371-8D5D-C415CF4C8B0B} => Firefox.exe Task: {AB414B5B-CD0E-450E-B942-CADBB384742E} - System32\Tasks\{B268020A-114C-4E1C-B24D-0CC19A8CA59B} => Firefox.exe http://ui.skype.com/ui/0/5.5.0.119.259/pl/go/help.faq.installer?source=lightinstaller&LastError=1618 Task: {DC58D260-BE6E-41DA-9A29-E7DA7770F128} - System32\Tasks\Windows Update Check - 0x0E5602E0 => C:\ProgramData\Windows Task: {DC70EE41-3C9D-4694-B8E9-7A08B2CD7381} - \{A2A5BE56-9310-403E-9DD5-C17F3C780895} No Task File Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe CustomCLSID: HKU\S-1-5-21-2480669067-1689513114-446732452-1001_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Krzysiek\AppData\Local\Temp\Dc6b\temp\Drivers.exe No File S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] C:\ProgramData\23405448 C:\ProgramData\TEMP C:\Users\Krzysiek\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Krzysiek\AppData\Local\{78653ff9-8e83-b9e7-b462-585b839647c5} C:\Windows\Installer\{78653ff9-8e83-b9e7-b462-585b839647c5} C:\Windows\onhax-temp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\FDResPub /s CMD: dir /a C:\ProgramData EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść trefny dziennik: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > wyszukaj dziennik Office i z prawokliku wyczyść. 3. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) + Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zasady działu, wymagane są raporty: KLIK.

Zacznijmy od tego w jakim celu jest "sprawdzanie logów", tzn. co się właściwie dzieje, z czym masz problem. W zasadach działu (KLIK) obowiązkowa jest informacja opisowa po co się podaje logi, logi jako takie to pomoc analityczna, ale musi być nakreślony problem.

Raport FRST Addition jest urwany, popraw załącznik wstawiając kompletny plik. Hmmm, poza tym opornym proxy wcześnij omawianym nie widzę nic nowego w raportach. Czy przekierowania występują tylko w określonej przeglądarce, czy we wszystkich? Czy zjawisko występuje tylko na stronie kwejk.pl (strona jest supportowana przez reklamy)? Jaki plik, z jakiego adresu?

Niekompletny zestaw raportów FRST - brak pliku Shortcut. W raportach nie notuję oznak infekcji. Informacje w Addition są pobierane za pomocą WMI. Czasem występują niezgodności między informacjami WMI a stanem faktycznym (notowanie programów nieistniejących już w systemie, nieprawidłowe raportowanie stanu zainstalowanego oproramowania). GMER wykrył jako "rootkit" moduł Adobe, nie wygląda to na infekcję: ---- Processes - GMER 2.1 ---- Library C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1260] 0x10000000 Z tym że Adobe Acrobat nie występuje na liście zainstalowanych, powyższy obiekt wygląda więc na odpadek i można się pozbyć tego. Otwórz Notatnik i wklej w nim: CMD: regsvr32 /u /s "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" C:\Program Files\Common Files\Adobe\Acrobat FF NewTab: hxxp://www.google.com/firefox S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Sprawcą zamieszania jest portal dobreprogramy, który dla większości programów podstawia "Asystent pobierania", tylko niektóre programy są go pozbawione (np. Avast czy AdwCleaner). Jeśli już ma być jakiekolwiek pobieranie stamtąd, to tylko i wyłącznie poprzez Linki bezpośrednie, a nie wyróżnione przyciski "Pobierz". Akcje pomyślnie wykonane, ale wymagane poprawki, bo w międzyczasiwe pojawiły się podejrzane polityki Google. 1. Otwórz Notatnik i wklej w nim: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files (x86)\Dynamo Combo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny plik fixlog.txt - przedstaw go. 2. Dodatkowo, w systemie są dwa inne konta bumida i Dariusz. Na wszelki wypadek po kolei zaloguj się na każde poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób na każdym nowe logi FRST (główny + Addition, bez Shortcut).

Jest tu jeszcze co czyścić - multum przekierowań omiga-plus.com. Operacje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871" CHR DefaultSearchKeyword: Default -> omiga-plus FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4010961823-3175815874-2470197352-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKU\S-1-5-21-4010961823-3175815874-2470197352-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKU\S-1-5-21-4010961823-3175815874-2470197352-1004 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKU\S-1-5-21-4010961823-3175815874-2470197352-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKU\S-1-5-21-4010961823-3175815874-2470197352-1004 -> {BDF61FAE-9D19-40F0-8F34-688DEB334CA9} URL = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10005_searchprotect_150106&q={searchTerms} Task: {0763D332-922D-4F75-875F-9737ACAB4518} - System32\Tasks\{92BD45AA-F9D1-4401-A5D3-FBE94F33CC69} => pcalua.exe -a C:\Sterowniki\sp56036.exe -d C:\Sterowniki Task: {1DD74D9B-4544-46CA-ACA3-03EB03C7AA3C} - System32\Tasks\{8B3A637E-C34B-4706-9A4B-6B0B6B66DACA} => pcalua.exe -a C:\Sterowniki\sp54972.exe -d C:\Sterowniki Task: {4F722DFE-8CD3-4C7F-8B59-07F5B4333507} - System32\Tasks\{8973FED7-90FF-4549-AFD2-E03AECCBD3F9} => pcalua.exe -a C:\Sterowniki\sp54746.exe -d C:\Sterowniki Task: {A323FA2C-2C35-40C2-9FDF-8DCA642F88BA} - System32\Tasks\{83C99E33-DAE7-4F55-B7C9-D3338F7ACBFA} => pcalua.exe -a C:\Sterowniki\sp57965.exe -d C:\Sterowniki Task: {E1A22F5F-A272-46F7-9BA8-D5A55F575EE6} - System32\Tasks\{5B21E07D-D17B-4DCA-99BE-F277A37152E1} => pcalua.exe -a C:\Sterowniki\sp53753.exe -d C:\Sterowniki C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Lila i Leoś\AppData\Local\CrashDumps C:\Users\Lila i Leoś\AppData\Roaming\omiga-plus C:\Users\Lila i Leoś\AppData\Roaming\WebTest C:\Users\Piotr\AppData\Local\CrashDumps C:\Users\Piotr\AppData\Roaming\rmi Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus.com. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony skrót IE: Shortcut: C:\Users\Lila i Leoś\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Lila i Leoś\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W Google Chrome jest adware PriceLess, ale to niestety nie wszystkie problemy. Przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i jest konieczna reinstalacja całej przeglądarki. Poza tym, są inne niedoczyszczone komponenty adware. Akcja: 1. Przez Panel sterowania odinstaluj Google Chrome oraz adware Remote Desktop Access (VuuPC), WindowsProtectManger20.0.0.401. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę od Google doczyści mój skrypt poniżej. Na razie nie instaluj ponownie Google Chrome. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy widać wpis Google Update Helper + usuń Shared C Run-time for x64 (odpadek po McAfee)> Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: {2E86DC8F-500A-4FDA-8C4D-EFC550E54DB9} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-28] (globalUpdate) Task: {329F7834-2AF5-4644-96CF-615DA571D4B5} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5_user => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: {3906B799-BB80-4E63-A253-CEB58B2A4EE1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {55A0FF53-8E5A-4119-AB27-F494917BD54D} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-1 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-codedownloader.exe Task: {5F5BEB2F-70CA-4D71-B491-579A223F43CE} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: {7EE9A381-4A83-4561-955C-CF519CA5F11F} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1453.0.0.0\jsdrv.exe Task: {8029697B-AD70-429B-9607-6FB581656C0C} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5_user => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: {8F806B61-8053-45DC-9A6B-2652F757981F} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: {905C8B40-6E55-4857-AABA-B410428A6857} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-6 => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-6.exe Task: {94373023-4BEB-4E50-B3D8-895314A2F7FE} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {94CD83E4-0A09-4D98-BEF1-C0B9B2654F8F} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-1 => C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe Task: {9A72A88C-0E77-474E-A56A-9C75A38C3A08} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6.exe Task: {A89E5663-77C2-4730-B052-C625FC2EF835} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5 => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: {B9F2D29E-92EF-45B5-878A-D9196AD05877} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe Task: {BA36609B-2748-4224-B976-2A1F926EF430} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7.exe Task: {EA3C4C17-58E6-4D85-AE04-F7E6F9347804} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-28] (globalUpdate) Task: {F744DED6-B6AF-4A4C-A445-775B123DE3C0} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5_user => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-1.job => C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.job => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5_user.job => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-6.job => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-6.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-1.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-codedownloader.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5_user.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7.exe Task: C:\WINDOWS\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: C:\WINDOWS\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.job => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: C:\WINDOWS\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5_user.job => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [fst_pl_139] => [X] HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1453.0.0.0\jsdrv.exe HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1029697707-3579543244-3229093376-1002\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1453.0.0.0\jsdrv.exe AppInit_DLLs-x32: c:\progra~2\suptab\search~1.dll => "c:\progra~2\suptab\search~1.dll" File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKU\S-1-5-21-1029697707-3579543244-3229093376-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKU\S-1-5-21-1029697707-3579543244-3229093376-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKU\S-1-5-21-1029697707-3579543244-3229093376-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKU\S-1-5-21-1029697707-3579543244-3229093376-1002 -> {D28989EA-AAFA-40B4-91DD-D07D3723C0D7} URL = BHO: HQ-Video-Pro-2.1cV28.12 -> {11111111-1111-1111-1111-110611571183} -> C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-bho64.dll No File BHO: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho64.dll No File BHO: Ge-Force -> {11111111-1111-1111-1111-110611911129} -> C:\Program Files (x86)\Ge-Force\Ge-Force-bho64.dll No File BHO-x32: HQ-Video-Pro-2.1cV28.12 -> {11111111-1111-1111-1111-110611571183} -> C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-bho.dll No File BHO-x32: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho.dll No File BHO-x32: Ge-Force -> {11111111-1111-1111-1111-110611911129} -> C:\Program Files (x86)\Ge-Force\Ge-Force-bho.dll No File BHO-x32: No Name -> {fca0e4cb-0f1b-4d65-abb6-9f7cf967977c} -> No File S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-28] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-28] (globalUpdate) [File not signed] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 KMSServerService; C:\WINDOWS\KMSServerService\KMS Server Service.exe DefaultPort DefaultKMSPID KillProcessOnPort [X] S2 Update Score Escape; "C:\Program Files (x86)\Score Escape\updateScoreEscape.exe" [X] S2 Util Score Escape; "C:\Program Files (x86)\Score Escape\bin\utilScoreEscape.exe" [X] S1 {20b871af-7e25-45aa-9901-0a41b8de04aa}w64; system32\drivers\{20b871af-7e25-45aa-9901-0a41b8de04aa}w64.sys [X] S1 {2df2f75f-71e1-4fe9-9cf0-03592c157fd6}w64; system32\drivers\{2df2f75f-71e1-4fe9-9cf0-03592c157fd6}w64.sys [X] S1 {35c07aff-2c24-4e46-a994-e406fa0990bf}w64; system32\drivers\{35c07aff-2c24-4e46-a994-e406fa0990bf}w64.sys [X] S1 {4625bb53-bcb9-4c8e-b87c-d0aff009e33c}w64; system32\drivers\{4625bb53-bcb9-4c8e-b87c-d0aff009e33c}w64.sys [X] S1 {701519ed-4860-494d-96b7-851ce962292b}w64; system32\drivers\{701519ed-4860-494d-96b7-851ce962292b}w64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google C:\Program Files (x86)\SupTab C:\Program Files (x86)\Supporter C:\ProgramData\1078601655 C:\ProgramData\IePluginServices C:\ProgramData\Temp C:\ProgramData\WindowsProtectManger C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo Cloud Storage by SugarSync.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SubEdit-Player\Konfiguracja dźwięku AC3Filter.lnk C:\Users\Aga\AppData\Local\Comodo C:\Users\Aga\AppData\Local\CrashDumps C:\Users\Aga\AppData\Local\CrashRpt C:\Users\Aga\AppData\Local\globalUpdate C:\Users\Aga\AppData\Local\Google C:\Users\Aga\AppData\Local\Torch C:\Users\Aga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Aga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\Aga\AppData\Roaming\VOPackage C:\Users\Aga\Documents\Skrót do AdobePhotoshopCS.lnk C:\Users\Aga\Documents\OBRAZY LUDZI-strony www\Skrót do *.lnk C:\Users\Public\Documents\ShopperPro C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

DelFix wykonał co należy (ale pobrany GMER trzeba dokasować ręcznie). Skasuj z dysku raport C:\Delfix.txt. Temat rozwiązany. Zamykam.

1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420807008&from=cor&uid=WDCXWD3200BEKT-60V5T1_WD-WXL1C10J4899J4899 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420807008&from=cor&uid=WDCXWD3200BEKT-60V5T1_WD-WXL1C10J4899J4899" CHR DefaultSearchKeyword: Default -> omiga-plus FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\r0b4gam5.default-1398015625036\extensions\fftoolbar2014@etech.com HKU\S-1-5-21-1804019565-2671705643-3176753893-1000\...\Run: [uTorrent] => "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED HKU\S-1-5-21-1804019565-2671705643-3176753893-1000\...\RunOnce: [Adobe Speed Launcher] => 1420912912 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {3DBDAB1F-5A9E-4410-A5AB-1A6FEEEEEB6C} - System32\Tasks\{F9197757-C919-468A-B36A-8B2C8D32E2BF} => pcalua.exe -a C:\Users\hp\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {90F7DD4F-40DB-4356-87C1-E7CD09B4ACBC} - System32\Tasks\{34263E96-713E-4670-A8D9-99B5FA726AF4} => pcalua.exe -a C:\Users\hp\AppData\Local\Temp\Temp1_revouninstaller.zip\revouninstaller-portable\Revouninstaller.exe C:\Program Files (x86)\Opera C:\Program Files (x86)\XTab C:\Users\hp\AppData\Local\Opera Software C:\Users\hp\AppData\Roaming\Opera Software C:\Users\hp\Desktop\ukryte ikony\Adobe Reader 9.lnk C:\Users\hp\Desktop\ukryte ikony\avast! Free Antivirus.lnk C:\Users\hp\Desktop\ukryte ikony\WildTangent Games App - hp.lnk Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{41A039C8-007B-4277-83B3-B55D3A908598}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{41A039C8-007B-4277-83B3-B55D3A908598}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony skrót IE: Shortcut: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany)

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi: KLIK.

W systemie pozostały dwa zadania inicjowane via Harmonogram, uruchamiające procesy z katalogu "Installer" - te zadania mają na celu zrekonstruować usunięte adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {41424876-B55F-41C3-AC12-DAB5F7D5186A} - System32\Tasks\Installer_iwebar => C:\Users\Sebastian\AppData\Local\Installer\Installiwebar_30162\ins_postInst.exe [2015-01-10] () Task: {D0D69888-BD39-4CE4-B4CA-F6D9ED11375B} - System32\Tasks\Installer_sense => C:\Users\Sebastian\AppData\Local\Installer\Installsense_30162\ins_postInst.exe [2015-01-10] () Task: {1890BEF1-3880-49F3-99CF-3731994B03DD} - System32\Tasks\{DF53375D-67CB-4C6E-B73C-278264DCD672} => Firefox.exe http://ui.skype.com/ui/0/6.9.59.106/pl/abandoninstall?page=tsBing CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1420903159&from=smt&uid=HitachiXHTS545050B9A300_110110PBN403M7DYXWKEX CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hppp&ts=1420903159&from=smt&uid=HitachiXHTS545050B9A300_110110PBN403M7DYXWKEX" CHR DefaultSearchKeyword: Default -> mystartsearch FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\k446gb9g.default\extensions\fftoolbar2014@etech.com FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2966516881-2113031637-2349138176-1000 -> {976C8D33-F7B8-11E3-BBF0-080027009C5E} URL = http://searchinfinitas.com/?affilt=4&q={searchTerms}&id={22EB8586-C3D9-49D1-B940-7FBD249B6E56} SearchScopes: HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Users\Sebastian\AppData\Local\CrashRpt C:\Users\Sebastian\AppData\Local\Installer Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WindowsMangerProtect" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch (o ile będzie widoczny). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co on robił wcześniej).

Na temat pobierania z portali: KLIK. I wg raportów problem nie nastąpił podczas pobierania Avast (zresztą na dobrychprogramach akurat ten program nie ma doczepionego "Asystenta pobierania" portalu) lecz JDownloader. Przeprowadź następujące działania: 1. Odinstaluj zbędnik Amazon Browser App oraz starą dziurawą wersję Java™ 6 Update 22. Prawdopodobnie z tej starej niebezpiecznej wersji korzysta JDownloader. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-11] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-11] () HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 Startup: C:\Users\bumida\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk Startup: C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll No File FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\bumida\AppData\Roaming\Mozilla\Firefox\Profiles\9c9tfpcl.default\extensions\fftoolbar2014@etech.com Task: {98EBF1E7-7363-494F-9198-6F551D58B787} - System32\Tasks\{AF8C45E8-DDA6-45AC-9CFB-0450AC24DFB9} => pcalua.exe -a D:\setup.exe -d D:\ Task: {CF5002B4-56DB-4640-BDC8-4468C847ACA7} - System32\Tasks\avastBCLRestartS-1-5-21-3075525339-4195542920-1684508868-1002 => Firefox.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\McAfee C:\Users\bumida\AppData\Roaming\Dropbox C:\Users\bumida\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk C:\Users\bumida\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\bumida\Downloads\*(*)-dp*.exe C:\Users\bumida\Links\Dropbox.lnk C:\Users\Dariusz\AppData\Roaming\Dropbox C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\Dariusz\Links\Dropbox.lnk C:\Users\Dariusz\Desktop\Dropbox.lnk C:\Users\Dariusz\Desktop\Z PULPITU\McAfee LiveSafe – Internet Security.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1B1B1377-758A-4FA7-9AC9-B81AAC31856D}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{1B1B1377-758A-4FA7-9AC9-B81AAC31856D}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

SpyHunter to program wątpliwej reputacji, był na czarnej liście i do dziś nie można mieć do niego zaufania. 1. Pobierz ponownie FRST (jest nowa wersja). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\LAPTOP\AppData\Roaming\Mozilla\Firefox\Profiles\ams11q1f.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\LAPTOP\AppData\Roaming\Mozilla\Firefox\Profiles\ams11q1f.default\extensions\faststartff@gmail.com Task: {CC659DD6-D363-4B87-BAB5-BC6AEA49ED52} - System32\Tasks\{67046EC0-43FE-4E9E-9E27-2B61E3B2F4E8} => pcalua.exe -a C:\Users\LAPTOP\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor C:\ProgramData\APN C:\ProgramData\WindowsMangerProtect C:\Program Files (x86)\Temp C:\Users\LAPTOP\AppData\Roaming\omiga-plus EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony skrót Internet Explorer: Shortcut: C:\Users\LAPTOP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\LAPTOP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Upewnij się, że nie jest to problem obniżonego transferu dysku z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

OTH Platforma: Windows XP, Vista, Windows 7 32-bit (wersje COM i SCR, jeśli nie można uruchomić wersji EXE) Program pomocniczy do uruchamiania narzędzi logów, głównie aplikacji OTL. Umożliwia przygotowanie czystego podkładu przed startem aplikacji właściwej poprzez wstępne zabicie wszystkich procesów, co może zredukować niektóre problemy wynikające z działania infekcji wpływającej negatywnie na OTL i podobne. Po zabiciu procesów jest możliwe: uruchomienie OTL lub innego określonego programu, start przeglądarki by móc wejść na forum i podać log, wreszcie restart. INSTRUKCJA URUCHOMIENIA: 1. Narzędzie jest dostępne w trzech wersjach. Jeśli nie można na komputerze uruchomić wersji EXE, należy pobrać wersję COM lub SCR. 2. Jeśli ma być uruchamiany konkretnie OTL, należy pobrać program OTL. Obie aplikacje umieścić we wspólnym folderze obok siebie: 3. Po uruchomieniu OTH pojawi się miniaturowy interfejs z zestawem opcji: 4. Należy wywołać opcję Kill All Processes, która zaowocuje zamknięciem się powłoki. Następnie uruchomić OTL opcją Start OTL - jeśli narzędzia nie są we wspólnym folderze, OTH wyrzuci błąd nie znalezienia OTL. Konfiguracja i sposób uruchomienia skanu OTL bez zmian - patrz na opis w pierwszym poście. 5. Zostaną automatycznie otworzone logi w Notatniku. By je zaprezentować na forum z biegu, na planszy OTH należy wybrać opcję Internet Explorer, która uruchomi przeglądarkę. Dodatkowo w bonusie jest opcja uruchomienia dowolnej innej aplikacji przy udziale opcji Start Misc Program - może to być inna przeglądarka niż domyślnie proponowany IE, inne narzędzie do logów lub nawet skaner dezynfekcyjny.

Security Check (by Screen317) Platforma: Windows XP, Vista, Windows 7 32-bit i 64-bit Program porzucony w 2015 i zastąpiony przez alternatywne wersje: Security Analysis by Rocket Grannie, Security Check by glax24. Windows 8 i 10: Brak zgodności. Systemy 64-bit: Program nie jest natywnie 64-bitowy, toteż pobór danych jest tylko częściowy. M.in. zainstalowane wersje określonych programów zostaną pokazane tylko w wersji 32-bit. Raport tworzący sumaryczne zestawienie podstawowych zabezpieczeń komputera (my nie bez powodu dajemy każdemu instrukcje aktualizujące po dezynfekcji). Raport nie jest obowiązkowy, gdyż podobne informacje jesteśmy w stanie uzyskać analizując FRST Addition. Omawiane tu narzędzie tworzy spis uproszczony: ogólny poziom SP systemu, wersję IE oraz status UAC na platformach Vista/7, Antivirus/Firewall Check (wykrycie oprogramowania tego rodzaju plus status Zapory Systemu Windows), Anti-malware/Other Utilities Check (zestawienie oprogramowania antymalware oraz wersji programów w rodzaju Adobe Reader czy Java, mających istotny wpływ na podatność na infekcję), Process Check (lista programów działających tłowo podczas tworzenia raportu), DNS Vulnerability Check (podatność na exploit DNS). Raport jest przepuszczany przez system klasyfikacji. Security Check jest programem konsolowym. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiamy przez dwuklik: Na systemach Vista do Windows 7 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Otworzy się okno konsolowe oczekujące na reakcję poprzez wywołanie dowolnego klawisza z klawiatury: `````````````````````````Security Check by screen317````````````````````````` This will check your system and display the security programs on your computer. `````````If you don't want this done for any reason, please quit now.```````` Aby kontynuować, naciśnij dowolny klawisz . . . 3. Rozpocznie się zbieranie informacji: ``Collecting Information`` Jest ono kilkuetapowe. Należy cierpliwie czekać do pokazania się tego oto komunikatu: Results have been copied to checkup.txt, which should open... now! 4. Równocześnie automatycznie otwiera się w Notatniku plik checkup.txt, odpowiednio sformatowany przy użyciu BBCode. Zawartość tego loga należy przekleić wprost do posta, nie przez Załączniki, by formatowanie było odpowiednio pokazane. Przykład raportu:

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba) MiniToolBox Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Strona domowa Pobierz MiniToolBox - Miniaturowy pakiet opcji skanujących związanych głównie z ustawieniami sieciowymi. Skan pliku HOSTS jest ograniczony do najistotniejszych informacji, nie są wyświetlane wpisy skomentowane znakiem # (czyli nieczynne), a jeśli plik HOSTS jest ogromny tylko 20 pierwszych pozycji zostaje załączonych w raporcie. W arsenale są trzy opcje modyfikujące ustawienia, czyli reset proxy Internet Explorer i Firefox oraz opróżnianie bufora nazw DNS. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiamy przez dwuklik: Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Otworzy się główny interfejs. Domyślnie żadna z pozycji nie jest zaznaczona, informację które dane nas interesują podamy użytkownikowi w trakcie prowadzenia jego tematu: 3. Po skonfigurowaniu opcji wg podanych w konkretnym temacie wytycznych klik w GO. Po ukończeniu skanowania automatycznie otwiera się Notatnik z wynikami. W tym samym katalogu, z którego uruchamiano narzędzie, powstanie log tekstowy MTB.txt.

To wszystko. Temat zamykam.

Jest tu ogromna ilość adware zainstalowana. Działania wstępne (usuwam też puste skróty poprawnych aplikacji - wpisy typu "No file" z Shortcut): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {01531192-f7ef-415f-a549-cfdb11836731}w64; C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys [61120 2014-04-24] (StdLib) R1 {03d08387-c95c-46e0-b2f8-4cd0ed929279}w64; C:\Windows\System32\drivers\{03d08387-c95c-46e0-b2f8-4cd0ed929279}w64.sys [48784 2015-01-03] (StdLib) R2 stdmfpam; C:\Program Files (x86)\HomeTab\stdmfpam.dll [67968 2015-01-04] () R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-13] (StdLib) R2 CboxUpdater; C:\Program Files (x86)\Cbox\CboxUpdater.exe [686592 2012-08-10] () [File not signed] S4 DefaultTabSearch; C:\Program Files (x86)\DefaultTab\DefaultTabSearch.exe [574464 2013-12-20] () [File not signed] S4 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-26] (globalUpdate) [File not signed] S4 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-26] (globalUpdate) [File not signed] R2 MaintainerSvc2.68.0219210; C:\ProgramData\f7d523a7-723b-4679-8c70-0e90e3053cba\maintainer.exe [123632 2015-01-05] () S2 mglupdate; C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [131480 2014-12-03] (Maxiget Ltd.) S3 mglupdatem; C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [131480 2014-12-03] (Maxiget Ltd.) R2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\KMPService.exe [1922600 2013-07-08] (Pandora.TV) R2 Update Surftastic; C:\Program Files (x86)\Surftastic\updateSurftastic.exe [529136 2015-01-10] () R2 Util Surftastic; C:\Program Files (x86)\Surftastic\bin\utilSurftastic.exe [529136 2015-01-10] () R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S4 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [501904 2014-02-26] (Cherished Technololgy LIMITED) HKLM-x32\...\Run: [tuto4pc_pl_21] => [X] HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [Cbox] => C:\Program Files (x86)\Cbox\Cbox HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [softonic for Windows] => C:\Users\Igor Maj\AppData\Local\Softonic\Softonic.exe [4170224 2014-04-29] (Softonic) HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [RGSC] => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\...\Run: [GOOBZOYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2014-12-28] (GOOBZO) Task: {0541F8B1-3CC2-4377-8B2F-473EF9B0C5FB} - System32\Tasks\{BFA8A38A-180C-49EB-B2D3-7CFF7BFA6889} => pcalua.exe -a "C:\Program Files (x86)\Harpo\AfaSystem\Drivers\Mdac_typ (1).exe" -d "C:\Program Files (x86)\Harpo\AfaSystem\Drivers" Task: {0AEDD9B4-0F6D-4DB4-8F8A-C6AB09E50581} - System32\Tasks\FTdownloader V4.0-codedownloader => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe [2013-07-16] (installdaddy) Task: {180B68EA-F493-4395-A2D9-6C842F138983} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {1A73ACEF-4425-4747-BA80-1D63CC15C6FE} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-11 => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-11.exe [2014-11-26] (OB) Task: {1AC78DD3-32C0-46FE-8AE2-B6790624FEB3} - System32\Tasks\{528A6D14-F3A4-4F38-9784-34EB5F83F608} => pcalua.exe -a "D:\Harpo\AfaSystem\Drivers\Mdac_typ (2).exe" -d D:\Harpo\AfaSystem\Drivers Task: {1BC62C38-26BD-471F-AA57-3351B8A8682E} - System32\Tasks\{4C197CFF-5788-4E5E-B699-9C9491311472} => pcalua.exe -a G:\Bin\demo32.exe -d G:\Bin Task: {24BCF00A-94F1-44AE-B482-FA4AC5C6D949} - System32\Tasks\AmiUpdXp => C:\Users\Igor Maj\AppData\Local\29971\a22291.exe [2014-11-25] () Task: {2CE57A19-0867-4C26-9277-43E655966B42} - System32\Tasks\{1334D7C4-5C9C-4028-B7B4-D0EF1EA708D9} => pcalua.exe -a G:\DirectX\dxsetup.exe -d G:\DirectX Task: {2DB6FB72-0B90-4EC3-8756-05041552D90F} - System32\Tasks\Installer_delay => C:\Users\Igor Maj\AppData\Local\Installer\Installdelay_5404\DCytaiesmt.exe [2014-12-28] () Task: {3164EB38-19EE-451D-9987-DA1CF17CB2F2} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-26] (globalUpdate) Task: {39DA8CC7-1D98-4AEB-88A1-C5312CE3A673} - System32\Tasks\FTdownloader V4.0-updater => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe [2013-07-16] (installdaddy) Task: {41196206-A842-43D6-A967-A2B30297FB1B} - System32\Tasks\Digital Sites => C:\Users\IGORMA~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: {5155326F-79E2-4B78-8F93-91364F347E8D} - System32\Tasks\846ba161-fe4b-48c4-9009-58d16debec9b => C:\Program Files (x86)\SavePass 1.1\846ba161-fe4b-48c4-9009-58d16debec9b.exe [2014-11-26] (OB) Task: {5AF43C55-C69D-4C8E-B7AE-693645B197CF} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5 => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe [2014-11-26] (OB) Task: {5D90B0BE-9AB1-45E7-8990-FE5CD9FB1B1D} - System32\Tasks\MaxigetUpdaterTaskMachineCore => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [2014-12-03] (Maxiget Ltd.) Task: {65116FF2-731F-451F-AD85-DE4C7D2AD71D} - System32\Tasks\{92DAFDEB-8EAE-49AA-A3CF-F11911F7471B} => pcalua.exe -a "D:\Harpo\AfaSystem\Drivers\Mdac_typ (1).exe" -d D:\Harpo\AfaSystem\Drivers Task: {7C0481AE-927E-46AC-98E9-0627F7212F0C} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-2 => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-2.exe [2014-11-26] (OB) Task: {7EB1FC43-70A2-46A8-9E53-DBC491676B51} - System32\Tasks\EPUpdater => C:\Users\IGORMA~1\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: {848F2B8A-73C2-4A96-BD7C-477B0C648281} - System32\Tasks\{C61242D6-C018-4765-8ACC-95B3BF6D4B14} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\plik\Pliki\Ivona_Demo-1.0\TesterSAPI.exe" Task: {96DA626F-D5BF-4B19-9CE9-5181DB31D10E} - System32\Tasks\MaxigetUpdaterTaskMachineUA => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe [2014-12-03] (Maxiget Ltd.) Task: {9DC8EA01-4940-4B59-94FC-DA924FA00E53} - System32\Tasks\{F2C66048-8CBC-495E-8910-4C21266BBDD2} => pcalua.exe -a "C:\Program Files (x86)\Harpo\AfaSystem\Drivers\Mdac_typ (2).exe" -d "C:\Program Files (x86)\Harpo\AfaSystem\Drivers" Task: {A0BCB194-6864-4215-B2E0-D271E6588A5E} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-26] (globalUpdate) Task: {A1489EB8-B78C-46B5-9703-87C896A71E96} - System32\Tasks\{1343DAAB-32A8-4010-937F-F3E536EF1539} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\plik\MinecraftZyczu.exe" -d "C:\Users\Igor Maj\Desktop\plik" Task: {A819C322-F2CB-4B48-B152-C166F379E653} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5_user => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe [2014-11-26] (OB) Task: {D153BD6A-9A0B-4F32-A989-47D42FD7C29D} - System32\Tasks\bf56365b-b7b9-4857-8ebd-09c149107a4e => C:\Program Files (x86)\SavePass 1.1\bf56365b-b7b9-4857-8ebd-09c149107a4e.exe [2014-11-26] () Task: {D2D8A61F-15C8-4547-894A-BED62BF5D77B} - System32\Tasks\{4E9E8BF8-AE85-4EF7-9960-2955D3217A0F} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\chromeinstall-7u55.vtsafe.exe" -d "C:\Users\Igor Maj\Desktop" Task: {D31580C5-F551-48D9-A525-5F372F4CFDA8} - System32\Tasks\{F8AE2302-E796-418E-88C2-BC85CBB371F5} => pcalua.exe -a "C:\Users\Igor Maj\Desktop\plik\Ivona_Demo-1.0\TesterSAPI.exe" -d "C:\Users\Igor Maj\Desktop\plik\Ivona_Demo-1.0" Task: {E786D88B-C977-4526-B79D-8C933C945F5B} - System32\Tasks\{3E5875AD-EBA3-4C5F-B034-E94600B8F092} => pcalua.exe -a E:\Uruchom.exe -d E:\ Task: {EBA9C3A1-2169-42AB-8F1B-648E348CE821} - System32\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-1 => C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-codedownloader.exe [2014-11-26] (OB) Task: {F15D6004-05C4-4D8D-9F55-FDB18A2E36DF} - System32\Tasks\FTdownloader V4.0-enabler => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe [2013-07-16] (installdaddy) Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-1.job => C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-codedownloader.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-11.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-11.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-2.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-2.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe Task: C:\WINDOWS\Tasks\3c672e99-b08d-4aa0-919b-18c7efbbe197-5_user.job => C:\Program Files (x86)\SavePass 1.1\3c672e99-b08d-4aa0-919b-18c7efbbe197-5.exe Task: C:\WINDOWS\Tasks\846ba161-fe4b-48c4-9009-58d16debec9b.job => C:\Program Files (x86)\SavePass 1.1\846ba161-fe4b-48c4-9009-58d16debec9b.exe Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Users\Igor Maj\AppData\Local\29971\a22291.exe Task: C:\WINDOWS\Tasks\bf56365b-b7b9-4857-8ebd-09c149107a4e.job => C:\Program Files (x86)\SavePass 1.1\bf56365b-b7b9-4857-8ebd-09c149107a4e.exe Task: C:\WINDOWS\Tasks\Digital Sites.job => C:\Users\IGORMA~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\FTdownloader V4.0-codedownloader.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe Task: C:\WINDOWS\Tasks\FTdownloader V4.0-enabler.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe Task: C:\WINDOWS\Tasks\FTdownloader V4.0-updater.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\MaxigetUpdaterTaskMachineCore.job => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe Task: C:\WINDOWS\Tasks\MaxigetUpdaterTaskMachineUA.job => C:\Program Files (x86)\Maxiget\Updater\MaxigetUpdater.exe Startup: C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk GroupPolicy: Group Policy on Chrome detected GroupPolicyUsers\S-1-5-21-1514046922-4189713046-1342366355-1003\User: Group Policy restriction detected GroupPolicyUsers\S-1-5-21-1514046922-4189713046-1342366355-1002\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:newtab HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455 HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=46366&tid=6221&ver=7.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,Search Page Before = http://search.certified-toolbar.com?si=46366&tid=6221&ver=4.0&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&st=chrome&q= HKU\S-1-5-21-1514046922-4189713046-1342366355-1002\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=4241DC85DE5D0660&affID=125266&tsp=5029 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1393331520&from=cor&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = String@!@http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.0&ts=1373477512431&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = String@!@http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.8&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = String@!@http://search.certified-toolbar.com?si=46366&st=bs&tid=6221&ver=4.8&ts=1373477512431.000004&tguid=46366-6221-1373477512431-626453479234D4E083BE3AE77468B670&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4241DC85DE5D0660&affID=125266&tsp=5029 SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD7500BPVT-80HXZT3_WD-WX21A92N7536N7536&ts=1393411455&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> {D757399F-02A6-4C04-9AF3-3376D1176145} URL = http://www.search.ask.com/web?tpid=ORJ-V7-SAT&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^PL&gct=&itbv=12.10.6.53&apn_uid=F4AF5AA4-31F4-4EF5-9911-57725F0E8128&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^PL&apn_dbr=Maxthon.exe_0_4.4.0.3000&doi=2014-08-22&trgb=IE&q={searchTerms}&psv= BHO: SavePass 1.1 -> {11111111-1111-1111-1111-110611341129} -> C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho64.dll (OB) BHO: No Name -> {4F524A2D-5637-2D53-4154-7A786E7484D7} -> No File BHO: No Name -> {4F524A2D-5637-4300-76A7-7A786E7484D7} -> No File BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: No Name -> {11111111-1111-1111-1111-110311551174} -> No File BHO-x32: SavePass 1.1 -> {11111111-1111-1111-1111-110611341129} -> C:\Program Files (x86)\SavePass 1.1\SavePass 1.1-bho.dll (OB) BHO-x32: HomeTab -> {19a395c9-823b-4700-b817-396fc84ffb16} -> C:\Users\Igor Maj\AppData\Roaming\HomeTab\HomeTab.dll No File BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: No Name -> {4F524A2D-5637-2D53-4154-7A786E7484D7} -> No File BHO-x32: No Name -> {4F524A2D-5637-4300-76A7-7A786E7484D7} -> No File BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BHO-x32: No Name -> {7F6AFBF1-E065-4627-A2FD-810366367D01} -> No File BHO-x32: Windows Live Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File BHO-x32: No Name -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> No File BHO-x32: Surftastic 1.0.0.6 -> {c6673938-a52b-4dc6-af05-783e7e2c8b65} -> C:\Program Files (x86)\Surftastic\SurftasticBHO.dll (Surftastic) BHO-x32: No Name -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM - No Name - {4F524A2D-5637-4300-76A7-7A786E7484D7} - No File Toolbar: HKLM - No Name - {4F524A2D-5637-2D53-4154-7A786E7484D7} - No File Toolbar: HKLM-x32 - HomeTab - {19a395c9-823b-4700-b817-396fc84ffb16} - C:\Users\Igor Maj\AppData\Roaming\HomeTab\HomeTab.dll No File Toolbar: HKLM-x32 - No Name - {8dcb7100-df86-4384-8842-8fa844297b3f} - No File Toolbar: HKLM-x32 - No Name - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No File Toolbar: HKLM-x32 - No Name - {4F524A2D-5637-4300-76A7-7A786E7484D7} - No File Toolbar: HKLM-x32 - No Name - {4F524A2D-5637-2D53-4154-7A786E7484D7} - No File Toolbar: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL No File CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Igor Maj\AppData\Roaming\BabSolution\CR\Delta.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [kdidombaedgpfiiedeimiebkmbilgmlc] - C:\Program Files (x86)\DefaultTab\DefaultTab.crx [2013-02-12] CHR HKLM-x32\...\Chrome\Extension: [lgnbhdnimikkoodkogjlcllngimhlapp] - C:\Program Files (x86)\FTDownloader.com\FTDownloader10.crx [2013-06-26] CHR HKLM-x32\...\Chrome\Extension: [pljcgbedjplidkdjahbaalanadmjfgop] - C:\ProgramData\AskPartnerNetwork\Toolbar\ORJ-V7C\CRX\ToolbarCR.crx [2014-03-26] FF Plugin-x32: @omaha.maxiget.com/Maxiget Updater;version=3 -> C:\Program Files (x86)\Maxiget\Updater\70.3.29.7018\npMaxigetUpdater3.dll (Maxiget Ltd.) FF Plugin-x32: @omaha.maxiget.com/Maxiget Updater;version=9 -> C:\Program Files (x86)\Maxiget\Updater\70.3.29.7018\npMaxigetUpdater3.dll (Maxiget Ltd.) FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Igor Maj\AppData\Roaming\Mozilla\Firefox\Profiles\yllgnxvt.default\extensions\quick_start@gmail.com FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{087B3AE3-E237-4467-B8DB-5A38AB959AC9}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{3B092F0C-7696-40E3-A80F-68D74DA84210}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{63542C48-9552-494A-84F7-73AA6A7C99C1}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{7BC0E710-5703-45BE-A29D-5D46D8B39262}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\ooofilt_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{AE424E85-F6DF-4910-A6A9-438797986431}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\propertyhdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\InprocServer32 -> C:\Program Files (x86)\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl_x64.dll No File CustomCLSID: HKU\S-1-5-21-1514046922-4189713046-1342366355-1002_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Igor Maj\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\AVScanner.ini C:\Program Files (x86)\SN_x64.Booster C:\Program Files (x86)\SN.Booster C:\Program Files (x86)\FTDownloader.com C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HomeTab C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\f7d523a7-723b-4679-8c70-0e90e3053cba C:\ProgramData\IePluginService C:\ProgramData\save net C:\ProgramData\Temp C:\ProgramData\WPM C:\ProgramData\YTAHelper C:\ProgramData\YoutubeAdblocker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alex Gordon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cbox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Feelers C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxiGet C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxiGet Software Manager C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Gość\AppData\Roaming\Maxthon3 C:\Users\Igor Maj\AppData\Local\DM C:\Users\Igor Maj\AppData\Local\globalUpdate C:\Users\Igor Maj\AppData\Local\Mobogenie C:\Users\Igor Maj\AppData\Local\OpenFM C:\Users\Igor Maj\AppData\Roaming\my_intel.sys C:\Users\Igor Maj\AppData\Roaming\sp_data.sys C:\Users\Igor Maj\AppData\Roaming\(3C-C2-43-71-C2-42) C:\Users\Igor Maj\AppData\Roaming\(A0-E4-53-CE-90-74) C:\Users\Igor Maj\AppData\Roaming\(BC-B1-F3-95-8C-49) C:\Users\Igor Maj\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Igor Maj\AppData\Roaming\B1Toolbar C:\Users\Igor Maj\AppData\Roaming\DefaultTab C:\Users\Igor Maj\AppData\Roaming\DigitalSite C:\Users\Igor Maj\AppData\Roaming\DigitalSites C:\Users\Igor Maj\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Softonic C:\Users\Igor Maj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XLink Kai C:\Users\Igor Maj\AppData\Roaming\OpenFM C:\Users\Igor Maj\AppData\Roaming\systweak C:\Users\Igor Maj\AppData\Roaming\Thinstall C:\Users\Igor Maj\Desktop\plik\Apps (2).lnk C:\Users\Igor Maj\Desktop\plik\BitTorrent.lnk C:\Users\Igor Maj\Desktop\plik\Camtasia Studio 8.lnk C:\Users\Igor Maj\Desktop\plik\Cbox.lnk C:\Users\Igor Maj\Desktop\plik\Configure VO Package.lnk C:\Users\Igor Maj\Desktop\plik\Continue *.lnk C:\Users\Igor Maj\Desktop\plik\DAEMON Tools Lite.lnk C:\Users\Igor Maj\Desktop\plik\DownLite*.lnk C:\Users\Igor Maj\Desktop\plik\EA Sports FIFA World.lnk C:\Users\Igor Maj\Desktop\plik\EZDownloader.lnk C:\Users\Igor Maj\Desktop\plik\FaceRig.exe.lnk C:\Users\Igor Maj\Desktop\plik\FTDownloader.lnk C:\Users\Igor Maj\Desktop\plik\iLivid.lnk C:\Users\Igor Maj\Desktop\plik\Kontynuuj instalację Minecraft Skin Viewer.lnk C:\Users\Igor Maj\Desktop\plik\Maxthon Cloud Browser.lnk C:\Users\Igor Maj\Desktop\plik\MinecraftZyczu (3).lnk C:\Users\Igor Maj\Desktop\plik\Mobogenie.lnk C:\Users\Igor Maj\Desktop\plik\Nr 1 Klątwa Gryziwąsa.lnk C:\Users\Igor Maj\Desktop\plik\Odkurzacz.lnk C:\Users\Igor Maj\Desktop\plik\Pou*.lnk C:\Users\Igor Maj\Desktop\plik\Rockstar Games Social Club.lnk C:\Users\Igor Maj\Desktop\plik\save2pc Light.lnk C:\Users\Igor Maj\Desktop\plik\Softonic*.lnk C:\Users\Igor Maj\Desktop\plik\Source Dedicated Server.lnk C:\Users\Igor Maj\Desktop\plik\The Sims™ 2 Dla początkujących.lnk C:\Users\Igor Maj\Desktop\plik\The Sims™ 3.lnk C:\Users\Igor Maj\Desktop\plik\www.softonic.url C:\Users\Igor Maj\Desktop\plik\INTERNET\Maxthon Cloud Browser.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\Camtasia Studio 8.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\char — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\McAfee Security Scan Plus.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\Nero 2014.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\Softonic.lnk C:\Users\Igor Maj\Desktop\plik\Nowy folder\śmieszne zdjęcia\2013-12-02_18.49.30 — skrót.lnk C:\Users\Igor Maj\Desktop\plik\minecraft do kopiowania\MinecraftZyczu — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Apps.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Continue *.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\McAfee Security Scan Plus.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\MiPony.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Softonic*.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\Start BlueStacks.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\the sims 3\The Sims 3 + Patch 1.15.34 + Crack — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\char (2) — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\char — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\PolandCreeper — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\zombie (2) — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\do pendrive\postacie do minecraft\zombie — skrót.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Angry Birds.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Garrys Mod.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Kurczaki Piraci.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\Matematyka dla dzieci.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\gry\UEFA EURO 2012.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Alex Gordon.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Euro Truck Simulator 2.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Feelers.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Goat Simulator.lnk C:\Users\Igor Maj\Desktop\plik\Pliki\thumbs\Szkoła podstawowa klasa 4 - Tajemnice przyrody.lnk C:\Users\Igor Maj\Desktop\plik\tapeta\Apps.lnk C:\Users\Igor Maj\Desktop\plik\tapeta\Start BlueStacks.lnk C:\Users\Igor Maj\Desktop\plik\thumbs\Multimedia Fusion Developer 2 C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\Evrsoft First Page 2006.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\Google Earth.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\OpenFM.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\Nowy folder (2)\Maxthon Cloud Browser.lnk C:\Users\Igor Maj\Desktop\Zabezpieczony Plik\Private\AfaSystem (1)\AfaSystem *.lnk C:\Users\Igor Maj\Documents\Fax\Euro Truck Simulator 2\music\Baauer - harlem Snake — skrót.lnk C:\Users\Igor Maj\Documents\Euro Truck Simulator 2\music\Baauer - harlem Snake — skrót.lnk C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\YTAHelper C:\Users\Rodzice\Desktop\Nowy folder\Matematyka dla dzieci.lnk C:\Users\Rodzice\Desktop\Nowy folder\Tajemnicza Wyspa.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avant Browser.lnk C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w64.sys C:\Windows\System32\drivers\{03d08387-c95c-46e0-b2f8-4cd0ed929279}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "BlueStacks Agent" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v TornTvDownloader.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Cbox /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Softonic for Windows" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpeedUpMyComputer /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "TornTv Downloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v WinnerDM /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GOOBZOYouTubeAccelerator /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Ask Shopping Toolbar, Ask Toolbar, BitGuard, Bundled software uninstaller, Cbox, Delta Chrome Toolbar, DownLite, EZDownloader, FilesFrog Update Checker, iLivid, KMP Service, Lollipop, MaxiGet Software Manager, Minecraft Packages, SavePass 1.1, SN.Sustainer 1.80, Softonic for Windows, Software Version Updater, SupTab, Surftastic, sweet-page uninstaller, VO Package, WinZipper. - Stare wersje i zbędniki firmowe: Adobe Reader X (10.1.10) MUI, ASUS WebStorage Sync Agent, Bing Bar, Java 7 Update 67, Java 8 Update 5, Java™ 7 Update 3. Jeśli coś nie będzie widoczne lub nie będzie się chciało odinstalować, po prostu kontynuuj do dalszych obiektów. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Shared C Run-time for x64 (odpadek po McAfee) > Dalej 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > Osoby > skasuj nieużywany profil zaprawiony adware. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut. Dołącz też plik fixlog.txt.

W raporcie nie ma oznak czynnej infekcji. Przedstaw gdzie konkretnie (ścieżki dostępu) są wykrywane obiekty Win32:Dropper-gen[Drp], Win32:Rootkit-gen[Rtk]. Jeśli chodzi o zwiększone użycie procesora, to problemem może być mnoga instalacja antywirusów, wg raportów działa równolegle Avast z MSSE, co jest zbyt dużym obciążeniem systemu. Na razie więc zadaję deinstalację zbędników i usuwanie wpisów pustych: 1. Przez Panel sterowania odinstaluj Microsoft Security Essentials. Proponuję też od razu odinstalować zbędniki firmowe: Asus WebStorage (wirtualny dysk internetowy) + ASUS Data Security Manager (szyfrator danych, o ile nie korzystałeś z niego do zaszyfrowania czegoś) + Bing Bar. Deinstalacja programów ASUS zmniejszy liczbę uruchomionych procesów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [Panda Malware Icon] -> {F5D1CF73-C196-48F8-AAAC-B9181E22B4E6} => C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL No File ShellIconOverlayIdentifiers: [Panda Suspect Icon] -> {9AE343CB-BA45-4618-AF6A-0230EE6FC793} => C:\Program Files (x86)\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Joanna\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2865235807-1952630281-2589921185-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:newtab HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2865235807-1952630281-2589921185-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\.DEFAULT -> No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File Toolbar: HKU\.DEFAULT -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File Toolbar: HKU\S-1-5-21-2865235807-1952630281-2589921185-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 Lavasoft Ad-Aware Service; "C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lavasoft Ad-Aware Service => ""="Service" C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero 8 C:\ProgramData\Temp C:\Users\Joanna\AppData\Local\Google\Chrome C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero Home Essentials SE.lnk C:\Users\Joanna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart Essentials.lnk C:\Users\Joanna\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Start Default_Page_URL" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{FE12BF4C-022D-4C0C-AABA-4736ED26F310}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Joanna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba) ListParts Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Strona domowa Pobierz wersję dla systemów 32-bit: Pobierz Pobierz wersję dla systemów 64-bit: Pobierz ListParts - Narzędzie dedykowane diagnostyce infekcji rootkit, które tworzą dodatkową ukrytą partycję. Udostępnia funkcję skanowania układu partycji oraz naprawy. Funkcje naprawcze to dane wewnętrzne i nie zostaną tu przedstawione. Pobór danych odbywa się w oparciu o konsolowe narzędzie diskpart wbudowane w Windows. ListParts jest zdolny uruchamiać się także w środowiskach zewnętrznych, np. w kombinacji z FRST, co ułatwia diagnostykę na kompletnie nie startujących Windows. INSTRUKCJA URUCHOMIENIA: 1. Pobrany plik uruchamiany przez dwuklik: Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Pojawi się małe okno z wyborem opcji. Dla Windows 8, Windows 7 i Vista figuruje dodatkowa opcja List BCD, domyślnie odznaczona, należy ją zanaczyć. 3. Uruchamiamy funkcję Scan. Po ukończeniu skanowania automatycznie otwiera się Notatnik z wynikami. W tym samym katalogu, z którego uruchamiano narzędzie ListParts, powstanie log tekstowy Result.txt.

Kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Google Update Helper został pomyślnie usunięty. Kończymy: 1. Skasuj z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix: KLIK. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji (uzupełnienie SP3, IE8 i reszty łat): KLIK Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 (Default browser: FF)

Kolejne czynności, gdyż w pozostałych przeglądarkach też jest adware. 1. W COMODO Dragon i Operze odinstaluj rozszerzenie SmartSaver+ 3. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy raport z folderu C:\AdwCleaner. To nieistotny odczyt z kwarantanny FRST. Kwarantannę na końcu zawsze usuwam. To jest inny problem nie powiązany z powyższymi problemami infekcji adware. Wg obrazka (ikonki plików) pliki PDF są skojarzone z domyślną wbudowaną w Windows 8 przeglądarką PDF. Na liście zainstalowanych nie widać też żadnego zewnętrznego programu (Adobe Reader, Foxit Reader). Potem będę się zastanawiać o co chodzi i jak rozwiązać błąd. Pytaniem jest jednak co się działo w systemie tuż przed wystąpieniem błędu - czy były jakieś deinstalacje / określone akcje prowadzone?