picasso

Problem tworzy szkodnik CutterInstance podmontowany w postaci poniższej usługi. Próbując się pozbyć zagrożenia stosowałeś wątpliwy skaner SpyHunter - z daleka od niego. R2 d4d75d37; c:\Program Files\CutterInstance\CutterInstance.dll [2149376 2015-01-10] () [File not signed] Przeprowadź następujące akcje: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 9.4.6 - Polish, Java™ 6 Update 29, Gadu-Gadu 10. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 d4d75d37; c:\Program Files\CutterInstance\CutterInstance.dll [2149376 2015-01-10] () [File not signed] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [naipdapbimiiikbbgjcpbgmfhnlbagpj] - C:\DOCUME~1\User\USTAWI~1\Temp\ccex.crx [Not Found] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.google.com" C:\unp304179974165017638.mdmp C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\BrotherSoft_Extreme C:\Documents and Settings\User\Dane aplikacji\appdataFr2.bin C:\Documents and Settings\User\Menu Start\Programy\BitLord C:\Documents and Settings\User\Pulpit\Continue FoxTab FLV Player Installation.lnk C:\Documents and Settings\User\Pulpit\2013-03 (mar)\Internet.lnk C:\Documents and Settings\User\Start Menu C:\Program Files\CutterInstance C:\Program Files\Enigma Software Group C:\Program Files\Mozilla Firefox C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\TornTvDownloader.lnkStartup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^User^Menu Start^Programy^Autostart^TornTvDownloader.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony skrót Internet Explorer. W pasku adresów eksploratora wklej i ENTER: C:\Documents and Settings\User\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Posty sklejam doprowadzając do pożądanej formy. Sprawa emulatorów jest przecież wyjaśniona w ogłoszeniu: KLIK. Dostarczony zestaw raportów FRST niekompletny - brak pliku Shortcut. Wracając do tytułowego błędu, problem tworzy wpis infekcji uruchamiany w starcie: Startup: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk ShortcutTarget: ctfmon.lnk -> C:\ProgramData\lsass.exe (Microsoft Corporation) Prócz tego są inne rzeczy do korekty (puste wpisy, odpadki adware). Przeprowadź następujące działania: 1. Odinstaluj stare wersje: Adobe Flash Player 15 ActiveX, Adobe Reader X (10.1.12), Adobe Shockwave Player 11.6. 2. Otwórz Notatnik i wklej w nim: Startup: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk HKLM\...\Run: [] => [X] HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [EA Core] => "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-1817701526-1401173901-2305217273-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 CustomCLSID: HKU\S-1-5-21-1817701526-1401173901-2305217273-1000_Classes\CLSID\{6d05bf60-3eaf-4a97-87c5-10cce505435b}\localserver32 -> C:\Users\Alexis\AppData\Local\Temp\{9c0ba3c1-2b67-45eb-bf69-bed9658d28d2}\IDriver.NonElevated.exe No (the data entry has 5 more characters). Task: {3B7887C4-B5E7-4CC9-A809-35205CC7B408} - System32\Tasks\{CDD6B537-5127-439A-B473-D2519696A61F} => pcalua.exe -a C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{B406605B-45FE-4D8F-8250-1E77479583AE} Task: {4C3F8F18-946A-4D72-855E-CF8A231CEE6E} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{21D8AAA9-4029-46A7-A23C-2BC4DCA40652}.exe Task: {536606F6-13CE-495D-A6AC-CFE687145D64} - System32\Tasks\{45B8CDEC-6D7F-4B95-9336-DA85BD94F99B} => pcalua.exe -a C:\Users\Alexis\Downloads\sp42568.exe -d C:\Users\Alexis\Downloads Task: {AA352EE5-79BC-4776-8623-13D9F5B416CA} - System32\Tasks\{A4910BF1-AD67-4A16-BA6D-899AE2C9C7B1} => pcalua.exe -a "C:\Users\Alexis\Downloads\Zoo Tycoon 2 PL.exe" -d C:\Users\Alexis\Downloads Task: {AE4E333F-A1D2-4309-8A00-4350B7C7FC05} - System32\Tasks\{3A463E5A-48AD-49D6-81E4-6115A076D8E2} => pcalua.exe -a "E:\Sterownik Validity Fingerprint Sensor.exe" -d E:\ Task: {B00FBE50-15CC-42F5-AABA-8697523B3A20} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{6FC31634-333D-4DD7-BD76-76959D76129F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{6FC31634-333D-4DD7-BD76-76959D76129F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{21D8AAA9-4029-46A7-A23C-2BC4DCA40652}.exe FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\FirefoxExt FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Alexis\AppData\Roaming\Mozilla\Firefox\Profiles\qkbemnt4.default\extensions\fftoolbar2014@etech.com FF HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\DigitalPersona\Bin\firefoxext S2 Update Dynamo Combo; "C:\Program Files\Dynamo Combo\updateDynamoCombo.exe" [X] U4 NMIndexingService; No ImagePath C:\Program Files\XTab C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\lsass.exe C:\ProgramData\Norton C:\Users\Alexis\AppData\Local\Google C:\Users\Alexis\AppData\Local\NPE C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21-1817701526-1401173901-2305217273-1002\Software\Microsoft\Internet Explorer\Toolbar" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, tytułowy błąd powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by uzupełnić brakujący log. Dołącz też plik fixlog.txt.

Gdy nie można uruchomić narzędzi Tymczasowe wyłączenie programu antywirusowego Pobieranie i/lub uruchomienie narzędzi które nie mają podpisu cyfrowego i posiadają specyficzną strukturę mogą blokować antywirusy. Jednym z błędnie klasyfikowanych programów jest FRST. Przykładowo: Avast blokuje jego pobieranie oznaczając zagrożenie jako Win32:Evo-gen [susp] i w przeglądarce Google Chrome pobieranie otrzyma status "Niepowodzenie - Błąd sieci", Norton blokuje uruchamianie oznaczając plik jako WS.Reputation.1 i usuwając z dysku. W tym przypadku należy tymczasowo wyłączyć osłonę antywirusową i ponowić pobieranie pliku. Zmiana nazwy pliku narzędzia Określone malware może zablokować uruchomienie danego narzędzia w oparciu o jego nazwę (metoda "Image File Execution Options"). Użytkownik może zobaczyć błąd "System Windows nie może odnaleźć pliku...". W takim przypadku proszę zmienić ręcznie nazwę pliku na dowolną i ponowić próbę. > Start w Trybie awaryjnym Uruchamianie komputera w trybie awaryjnym w systemach XP do Windows 7 Uruchamianie komputera w trybie awaryjnym w systemie Windows 8.1 Uruchamianie komputera w trybie awaryjnym w systemie Windows 10 Kolejnym problemem mogą być procesy malware blokujące uruchomienie narzędzi i w tym przypadku dobrym pomysłem jest maksymalna redukcja uruchomionych procesów poprzez przejście w Tryb awaryjny. Dodatkowe uwagi pod kątem systemów Windows 8/8.1 i Windows 10: Start na tych systemach jest bardzo szybki i metoda z klawiszem F8 lub SHIFT+F8 podczas uruchamiania komputera głównie nie działa. Na platformach z UEFI i dyskach SSD intercepcja startu tym sposobem jest awykonalna. Natomiast na starych komputerach z klasycznym BIOS i bez SSD jest szansa na uruchomienie tym sposobem. Nie działa żadna z powyższych metod lub system niedostępny Uruchamianie FRST z poziomu środowiska zewnętrznego

W tym samym czasie są zalogowane liczne konta: Running from C:\Users\Marek\Desktop\help Loaded Profiles: Marek & Administrator & Gość (Available profiles: Marek & Administrator & Gość) Proszę wyloguj się ze wszystkich, tzn. wykonaj pełny restart komputera i zaloguj się na główne konto Marek. Usuń z Pulpitu folder "help", pobierz FRST ponownie na Pulpit i zrób nowe logi. Na czas robienia raportów kompletnie zdeaktywuj COMODO.

Skoro logi się otwierają, to są na 100% zapisane na dysku. Skoro mowa o Pulpicie, to jest możliwe że raporty są poza krawędzią widoczności ekranu. Otwórz eksplorator Windows, przejdź do folderu C:\Users\Konto\Desktop (Windows Vista i nowsze) lub C:\Documents and Settings\Konto\Pulpit (XP) i sprawdź czy logi są tam widoczne. Dodatkowo, możesz zastosować wyszukiwarkę systemową dla nazw raportów.

Zasady działu: KLIK. Tu jest zakaz podpinania się, wydzielone. Przypominam, że FRST ma utworzć trzy a nie dwa raporty (jeszcze Shortcut). Skąd jest uruchamiany FRST, z jakiej ścieżki dostępu?

GMER dokasuj ręcznie (DelFix go nie adresuje). Pozbądź się też pliku raportu C:\Delfix.txt. Temat rozwiązany. Zamykam.

Nie widzę tu problemu. Ten adres IP należy do WOT: KLIK / KLIK. PS. W międzyczasie zedytowałam skrypt FRST. Nie zostały przetworzone te puste skróty: C:\Users\Edyta\Links\GG dysk.lnk C:\Users\Edyta\Favorites\GG dysk.lnk C:\Users\Edyta\Desktop\GG dysk.lnk C:\Users\Edyta\Desktop\GG.lnk C:\Users\Edyta\Desktop\Google Chrome.lnk C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk Ręcznie je wykończ. Po tym skasuj folder FRST z Pulpitu i zastosuj DelFix.

Tak jest, są tu minery, aż dwa: Task: {346DF0A6-383A-4CC6-90C6-C328EC9E264F} - System32\Tasks\Origin => C:\Windows\system32\config\systemprofile\AppData\Roaming\Origin\update.vbe [2014-09-08] () Task: {D727073C-4D98-456E-9649-668640E6E57A} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\User\AppData\Roaming\XRay Engine\CODEXi\Steam [2015-01-10] () Poza tym, są ślady adware, które zresztą przekonwertowało typ przeglądarki Google Chrome ze stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja. Akcja: 1. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {346DF0A6-383A-4CC6-90C6-C328EC9E264F} - System32\Tasks\Origin => C:\Windows\system32\config\systemprofile\AppData\Roaming\Origin\update.vbe [2014-09-08] () Task: {D727073C-4D98-456E-9649-668640E6E57A} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\User\AppData\Roaming\XRay Engine\CODEXi\Steam [2015-01-10] () Task: {B4785FE5-A0EF-4AFD-8D7A-076F8C1D0C6A} - System32\Tasks\{95A1E166-5039-40E2-99B5-C09CA2F7267B} => pcalua.exe -a C:\Users\User\Desktop\TWEE_Polish_language_pack.exe -d C:\Users\User\Desktop HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\Program Files (x86)\BuoyNseavae C:\Program Files (x86)\BuyNsaave C:\Program Files (x86)\Google C:\Program Files (x86)\Minimal Memory C:\Program Files (x86)\YoutubeAdBLocoke C:\ProgramData\*.bdinstall.bin C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Rockstar Games Social Club.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpaceEngine C:\Users\User\.VirtualBox C:\Users\User\VirtualBox VMs C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Roaming\0ad C:\Users\User\AppData\Roaming\3909 C:\Users\User\AppData\Roaming\QuickScan C:\Users\User\AppData\Roaming\XRay Engine\CODEXi C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PlanetSide 2.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\User\Documents\Rainmeter\Skins\WP7\@Resources\Common\Variables\Languages\*.lnk C:\Windows\temp023423.vbe C:\Windows\system32\config\systemprofile\AppData\Roaming\Origin C:\Windows\system32\Drivers\VBoxDrv.sys C:\Windows\system32\drivers\VBoxNetAdp.sys C:\Windows\system32\Drivers\VBoxUSBMon.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc delete VBoxNetAdp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z katalogu C:\AdwCleaner (był używany).

Zaprezentuj te wyniki i opisz w jaki sposób zdefiniowałeś je jako "szkodliwe". W raportach brak jakichkolwiek oznak infekcji. Do wyczyszczenia tylko wpisy puste (kosmetyka, brak związku z powyższym). 1. Odinstaluj stare wersje Java 7 Update 67, Java 8 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2339661925-3291958849-1774368646-1000\...\MountPoints2: {6a42f142-1eb0-11e3-8f91-806e6f6e6963} - E:\setup.exe BootExecute: autocheck autochk * PCloudBroom.exe \systemroot\system32\BroomData.bit HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = Toolbar: HKU\S-1-5-21-2339661925-3291958849-1774368646-1000 -> No Name - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No File CHR HKLM\...\Chrome\Extension: [jbolfgndggfhhpbnkgnpjkfhinclbigj] - No Path S1 A2DDA; \??\C:\USERS\ADMIN\DESKTOP\EEK\BIN\a2ddax86.sys [X] S3 cleanhlp; \??\C:\Users\ADMIN\Desktop\EEK\bin\cleanhlp32.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81837042.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81837042.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" C:\Users\Edyta\Links\GG dysk.lnk C:\Users\Edyta\Favorites\GG dysk.lnk C:\Users\Edyta\Desktop\GG dysk.lnk C:\Users\Edyta\Desktop\GG.lnk C:\Users\Edyta\Desktop\Google Chrome.lnk C:\Users\Edyta\Desktop\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GG.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\GG.lnk C:\Users\Edyta\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\Edyta\AppData\Local\GG\Application\gg.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashPlayerUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Brak oznak czynnej infekcji. Są owszem ślady infekcyjne, m.in. niedokładnie wyczyszczony trojan ZeroAccess i inne elementy, ale to bardzo stare sprawy. Wszystko w stanie odpadków i nie ma wpływu na system. FRST zatrzymuje się na skanie dziennika zdarzeń Office i to nie ma związku z infekcjami. Jeśli obecnie jest problem z szybkością systemu, to nie jest to wynik infekcji. Zamulać może ... Kaspersky Internet Security. Pod kątem usuwania odpadków: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-20\...\Run: [Windows Service Manager] => "C:\ProgramData\Windows Service Manager0\iflmnkfrd.exe" HKU\S-1-5-20\...\RunOnce: [Windows Service Manager] => C:\ProgramData\Windows Service Manager0\iflmnkfrd.exe HKU\S-1-5-21-2480669067-1689513114-446732452-1001\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-2480669067-1689513114-446732452-1001\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-2480669067-1689513114-446732452-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms} Task: {16BDFAD8-5042-41EA-A662-A6943B880DB8} - System32\Tasks\{5781AA27-B10E-4DE0-8548-AE4238E09C73} => D:\DreamWorks Interactive\Neverhood\WAVistaWin7.exe Task: {4EDA69D1-0BE9-4C25-88B5-72745347B9F7} - \{945A746E-0F50-4F38-87B9-E59D39492DD1} No Task File Task: {9DB5E208-BD34-4B69-8552-97D114CD0D84} - System32\Tasks\{44F63ECA-B9FC-4371-8D5D-C415CF4C8B0B} => Firefox.exe Task: {AB414B5B-CD0E-450E-B942-CADBB384742E} - System32\Tasks\{B268020A-114C-4E1C-B24D-0CC19A8CA59B} => Firefox.exe http://ui.skype.com/ui/0/5.5.0.119.259/pl/go/help.faq.installer?source=lightinstaller&LastError=1618 Task: {DC58D260-BE6E-41DA-9A29-E7DA7770F128} - System32\Tasks\Windows Update Check - 0x0E5602E0 => C:\ProgramData\Windows Task: {DC70EE41-3C9D-4694-B8E9-7A08B2CD7381} - \{A2A5BE56-9310-403E-9DD5-C17F3C780895} No Task File Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe CustomCLSID: HKU\S-1-5-21-2480669067-1689513114-446732452-1001_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Krzysiek\AppData\Local\Temp\Dc6b\temp\Drivers.exe No File S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S4 sptd; System32\Drivers\sptd.sys [X] C:\ProgramData\23405448 C:\ProgramData\TEMP C:\Users\Krzysiek\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Krzysiek\AppData\Local\{78653ff9-8e83-b9e7-b462-585b839647c5} C:\Windows\Installer\{78653ff9-8e83-b9e7-b462-585b839647c5} C:\Windows\onhax-temp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\FDResPub /s CMD: dir /a C:\ProgramData EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść trefny dziennik: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > wyszukaj dziennik Office i z prawokliku wyczyść. 3. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) + Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zasady działu, wymagane są raporty: KLIK.

Zacznijmy od tego w jakim celu jest "sprawdzanie logów", tzn. co się właściwie dzieje, z czym masz problem. W zasadach działu (KLIK) obowiązkowa jest informacja opisowa po co się podaje logi, logi jako takie to pomoc analityczna, ale musi być nakreślony problem.

Raport FRST Addition jest urwany, popraw załącznik wstawiając kompletny plik. Hmmm, poza tym opornym proxy wcześnij omawianym nie widzę nic nowego w raportach. Czy przekierowania występują tylko w określonej przeglądarce, czy we wszystkich? Czy zjawisko występuje tylko na stronie kwejk.pl (strona jest supportowana przez reklamy)? Jaki plik, z jakiego adresu?

Niekompletny zestaw raportów FRST - brak pliku Shortcut. W raportach nie notuję oznak infekcji. Informacje w Addition są pobierane za pomocą WMI. Czasem występują niezgodności między informacjami WMI a stanem faktycznym (notowanie programów nieistniejących już w systemie, nieprawidłowe raportowanie stanu zainstalowanego oproramowania). GMER wykrył jako "rootkit" moduł Adobe, nie wygląda to na infekcję: ---- Processes - GMER 2.1 ---- Library C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1260] 0x10000000 Z tym że Adobe Acrobat nie występuje na liście zainstalowanych, powyższy obiekt wygląda więc na odpadek i można się pozbyć tego. Otwórz Notatnik i wklej w nim: CMD: regsvr32 /u /s "C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll" C:\Program Files\Common Files\Adobe\Acrobat FF NewTab: hxxp://www.google.com/firefox S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Sprawcą zamieszania jest portal dobreprogramy, który dla większości programów podstawia "Asystent pobierania", tylko niektóre programy są go pozbawione (np. Avast czy AdwCleaner). Jeśli już ma być jakiekolwiek pobieranie stamtąd, to tylko i wyłącznie poprzez Linki bezpośrednie, a nie wyróżnione przyciski "Pobierz". Akcje pomyślnie wykonane, ale wymagane poprawki, bo w międzyczasiwe pojawiły się podejrzane polityki Google. 1. Otwórz Notatnik i wklej w nim: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files (x86)\Dynamo Combo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny plik fixlog.txt - przedstaw go. 2. Dodatkowo, w systemie są dwa inne konta bumida i Dariusz. Na wszelki wypadek po kolei zaloguj się na każde poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób na każdym nowe logi FRST (główny + Addition, bez Shortcut).

Jest tu jeszcze co czyścić - multum przekierowań omiga-plus.com. Operacje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871" CHR DefaultSearchKeyword: Default -> omiga-plus FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4010961823-3175815874-2470197352-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 HKU\S-1-5-21-4010961823-3175815874-2470197352-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKU\S-1-5-21-4010961823-3175815874-2470197352-1004 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKU\S-1-5-21-4010961823-3175815874-2470197352-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420384816&from=cor&uid=WDCXWD1600BEVT-22ZCT0_WD-WXF0EA9NF871NF871&q={searchTerms} SearchScopes: HKU\S-1-5-21-4010961823-3175815874-2470197352-1004 -> {BDF61FAE-9D19-40F0-8F34-688DEB334CA9} URL = http://securedsearch.lavasoft.com/results.php?pr=vmn&id=webcompa&ent=ch_WCYID10005_searchprotect_150106&q={searchTerms} Task: {0763D332-922D-4F75-875F-9737ACAB4518} - System32\Tasks\{92BD45AA-F9D1-4401-A5D3-FBE94F33CC69} => pcalua.exe -a C:\Sterowniki\sp56036.exe -d C:\Sterowniki Task: {1DD74D9B-4544-46CA-ACA3-03EB03C7AA3C} - System32\Tasks\{8B3A637E-C34B-4706-9A4B-6B0B6B66DACA} => pcalua.exe -a C:\Sterowniki\sp54972.exe -d C:\Sterowniki Task: {4F722DFE-8CD3-4C7F-8B59-07F5B4333507} - System32\Tasks\{8973FED7-90FF-4549-AFD2-E03AECCBD3F9} => pcalua.exe -a C:\Sterowniki\sp54746.exe -d C:\Sterowniki Task: {A323FA2C-2C35-40C2-9FDF-8DCA642F88BA} - System32\Tasks\{83C99E33-DAE7-4F55-B7C9-D3338F7ACBFA} => pcalua.exe -a C:\Sterowniki\sp57965.exe -d C:\Sterowniki Task: {E1A22F5F-A272-46F7-9BA8-D5A55F575EE6} - System32\Tasks\{5B21E07D-D17B-4DCA-99BE-F277A37152E1} => pcalua.exe -a C:\Sterowniki\sp53753.exe -d C:\Sterowniki C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Lila i Leoś\AppData\Local\CrashDumps C:\Users\Lila i Leoś\AppData\Roaming\omiga-plus C:\Users\Lila i Leoś\AppData\Roaming\WebTest C:\Users\Piotr\AppData\Local\CrashDumps C:\Users\Piotr\AppData\Roaming\rmi Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz COMODO, gdyż przeszkodzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus.com. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony skrót IE: Shortcut: C:\Users\Lila i Leoś\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Lila i Leoś\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W Google Chrome jest adware PriceLess, ale to niestety nie wszystkie problemy. Przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i jest konieczna reinstalacja całej przeglądarki. Poza tym, są inne niedoczyszczone komponenty adware. Akcja: 1. Przez Panel sterowania odinstaluj Google Chrome oraz adware Remote Desktop Access (VuuPC), WindowsProtectManger20.0.0.401. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, a resztę od Google doczyści mój skrypt poniżej. Na razie nie instaluj ponownie Google Chrome. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy widać wpis Google Update Helper + usuń Shared C Run-time for x64 (odpadek po McAfee)> Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {13D5E777-2EDB-4572-B75E-DEB49BB3B74D} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5 => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: {2E86DC8F-500A-4FDA-8C4D-EFC550E54DB9} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-28] (globalUpdate) Task: {329F7834-2AF5-4644-96CF-615DA571D4B5} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5_user => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: {3906B799-BB80-4E63-A253-CEB58B2A4EE1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {55A0FF53-8E5A-4119-AB27-F494917BD54D} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-1 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-codedownloader.exe Task: {5F5BEB2F-70CA-4D71-B491-579A223F43CE} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: {7EE9A381-4A83-4561-955C-CF519CA5F11F} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1453.0.0.0\jsdrv.exe Task: {8029697B-AD70-429B-9607-6FB581656C0C} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5_user => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: {8F806B61-8053-45DC-9A6B-2652F757981F} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: {905C8B40-6E55-4857-AABA-B410428A6857} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-6 => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-6.exe Task: {94373023-4BEB-4E50-B3D8-895314A2F7FE} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {94CD83E4-0A09-4D98-BEF1-C0B9B2654F8F} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-1 => C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe Task: {9A72A88C-0E77-474E-A56A-9C75A38C3A08} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6.exe Task: {A89E5663-77C2-4730-B052-C625FC2EF835} - System32\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5 => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: {B9F2D29E-92EF-45B5-878A-D9196AD05877} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe Task: {BA36609B-2748-4224-B976-2A1F926EF430} - System32\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7 => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7.exe Task: {EA3C4C17-58E6-4D85-AE04-F7E6F9347804} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-28] (globalUpdate) Task: {F744DED6-B6AF-4A4C-A445-775B123DE3C0} - System32\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5_user => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-1.job => C:\Program Files (x86)\Ge-Force\Ge-Force-codedownloader.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.job => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-5_user.job => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-5.exe Task: C:\WINDOWS\Tasks\08ae7c54-9ea6-4cfe-a220-762aba16858b-6.job => C:\Program Files (x86)\Ge-Force\08ae7c54-9ea6-4cfe-a220-762aba16858b-6.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-1.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-codedownloader.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5_user.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-5.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-6.exe Task: C:\WINDOWS\Tasks\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7.job => C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\3ccc8ffe-a174-4b61-9f90-e81672c5be84-7.exe Task: C:\WINDOWS\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: C:\WINDOWS\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.job => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: C:\WINDOWS\Tasks\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5_user.job => C:\Program Files (x86)\Sense\6ee22be2-67f4-496a-bc12-6c82ea0c3717-5.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [fst_pl_139] => [X] HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1453.0.0.0\jsdrv.exe HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1029697707-3579543244-3229093376-1002\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1453.0.0.0\jsdrv.exe AppInit_DLLs-x32: c:\progra~2\suptab\search~1.dll => "c:\progra~2\suptab\search~1.dll" File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} HKU\S-1-5-21-1029697707-3579543244-3229093376-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKU\S-1-5-21-1029697707-3579543244-3229093376-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKU\S-1-5-21-1029697707-3579543244-3229093376-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1403443516&from=amt&uid=ST1000LM024XHN-M101MBB_S2SMJ9CDA55523&q={searchTerms} SearchScopes: HKU\S-1-5-21-1029697707-3579543244-3229093376-1002 -> {D28989EA-AAFA-40B4-91DD-D07D3723C0D7} URL = BHO: HQ-Video-Pro-2.1cV28.12 -> {11111111-1111-1111-1111-110611571183} -> C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-bho64.dll No File BHO: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho64.dll No File BHO: Ge-Force -> {11111111-1111-1111-1111-110611911129} -> C:\Program Files (x86)\Ge-Force\Ge-Force-bho64.dll No File BHO-x32: HQ-Video-Pro-2.1cV28.12 -> {11111111-1111-1111-1111-110611571183} -> C:\Program Files (x86)\HQ-Video-Pro-2.1cV28.12\HQ-Video-Pro-2.1cV28.12-bho.dll No File BHO-x32: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho.dll No File BHO-x32: Ge-Force -> {11111111-1111-1111-1111-110611911129} -> C:\Program Files (x86)\Ge-Force\Ge-Force-bho.dll No File BHO-x32: No Name -> {fca0e4cb-0f1b-4d65-abb6-9f7cf967977c} -> No File S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-28] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-28] (globalUpdate) [File not signed] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 KMSServerService; C:\WINDOWS\KMSServerService\KMS Server Service.exe DefaultPort DefaultKMSPID KillProcessOnPort [X] S2 Update Score Escape; "C:\Program Files (x86)\Score Escape\updateScoreEscape.exe" [X] S2 Util Score Escape; "C:\Program Files (x86)\Score Escape\bin\utilScoreEscape.exe" [X] S1 {20b871af-7e25-45aa-9901-0a41b8de04aa}w64; system32\drivers\{20b871af-7e25-45aa-9901-0a41b8de04aa}w64.sys [X] S1 {2df2f75f-71e1-4fe9-9cf0-03592c157fd6}w64; system32\drivers\{2df2f75f-71e1-4fe9-9cf0-03592c157fd6}w64.sys [X] S1 {35c07aff-2c24-4e46-a994-e406fa0990bf}w64; system32\drivers\{35c07aff-2c24-4e46-a994-e406fa0990bf}w64.sys [X] S1 {4625bb53-bcb9-4c8e-b87c-d0aff009e33c}w64; system32\drivers\{4625bb53-bcb9-4c8e-b87c-d0aff009e33c}w64.sys [X] S1 {701519ed-4860-494d-96b7-851ce962292b}w64; system32\drivers\{701519ed-4860-494d-96b7-851ce962292b}w64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google C:\Program Files (x86)\SupTab C:\Program Files (x86)\Supporter C:\ProgramData\1078601655 C:\ProgramData\IePluginServices C:\ProgramData\Temp C:\ProgramData\WindowsProtectManger C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo Cloud Storage by SugarSync.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SubEdit-Player\Konfiguracja dźwięku AC3Filter.lnk C:\Users\Aga\AppData\Local\Comodo C:\Users\Aga\AppData\Local\CrashDumps C:\Users\Aga\AppData\Local\CrashRpt C:\Users\Aga\AppData\Local\globalUpdate C:\Users\Aga\AppData\Local\Google C:\Users\Aga\AppData\Local\Torch C:\Users\Aga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Aga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\Aga\AppData\Roaming\VOPackage C:\Users\Aga\Documents\Skrót do AdobePhotoshopCS.lnk C:\Users\Aga\Documents\OBRAZY LUDZI-strony www\Skrót do *.lnk C:\Users\Public\Documents\ShopperPro C:\Users\Administrator C:\Users\Gość C:\Users\HomeGroupUser$ C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

DelFix wykonał co należy (ale pobrany GMER trzeba dokasować ręcznie). Skasuj z dysku raport C:\Delfix.txt. Temat rozwiązany. Zamykam.

1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420807008&from=cor&uid=WDCXWD3200BEKT-60V5T1_WD-WXL1C10J4899J4899 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420807008&from=cor&uid=WDCXWD3200BEKT-60V5T1_WD-WXL1C10J4899J4899" CHR DefaultSearchKeyword: Default -> omiga-plus FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\r0b4gam5.default-1398015625036\extensions\fftoolbar2014@etech.com HKU\S-1-5-21-1804019565-2671705643-3176753893-1000\...\Run: [uTorrent] => "C:\Program Files (x86)\uTorrent\uTorrent.exe" /MINIMIZED HKU\S-1-5-21-1804019565-2671705643-3176753893-1000\...\RunOnce: [Adobe Speed Launcher] => 1420912912 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {3DBDAB1F-5A9E-4410-A5AB-1A6FEEEEEB6C} - System32\Tasks\{F9197757-C919-468A-B36A-8B2C8D32E2BF} => pcalua.exe -a C:\Users\hp\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {90F7DD4F-40DB-4356-87C1-E7CD09B4ACBC} - System32\Tasks\{34263E96-713E-4670-A8D9-99B5FA726AF4} => pcalua.exe -a C:\Users\hp\AppData\Local\Temp\Temp1_revouninstaller.zip\revouninstaller-portable\Revouninstaller.exe C:\Program Files (x86)\Opera C:\Program Files (x86)\XTab C:\Users\hp\AppData\Local\Opera Software C:\Users\hp\AppData\Roaming\Opera Software C:\Users\hp\Desktop\ukryte ikony\Adobe Reader 9.lnk C:\Users\hp\Desktop\ukryte ikony\avast! Free Antivirus.lnk C:\Users\hp\Desktop\ukryte ikony\WildTangent Games App - hp.lnk Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{41A039C8-007B-4277-83B3-B55D3A908598}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{41A039C8-007B-4277-83B3-B55D3A908598}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony skrót IE: Shortcut: C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\hp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany)

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi: KLIK.

W systemie pozostały dwa zadania inicjowane via Harmonogram, uruchamiające procesy z katalogu "Installer" - te zadania mają na celu zrekonstruować usunięte adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {41424876-B55F-41C3-AC12-DAB5F7D5186A} - System32\Tasks\Installer_iwebar => C:\Users\Sebastian\AppData\Local\Installer\Installiwebar_30162\ins_postInst.exe [2015-01-10] () Task: {D0D69888-BD39-4CE4-B4CA-F6D9ED11375B} - System32\Tasks\Installer_sense => C:\Users\Sebastian\AppData\Local\Installer\Installsense_30162\ins_postInst.exe [2015-01-10] () Task: {1890BEF1-3880-49F3-99CF-3731994B03DD} - System32\Tasks\{DF53375D-67CB-4C6E-B73C-278264DCD672} => Firefox.exe http://ui.skype.com/ui/0/6.9.59.106/pl/abandoninstall?page=tsBing CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1420903159&from=smt&uid=HitachiXHTS545050B9A300_110110PBN403M7DYXWKEX CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hppp&ts=1420903159&from=smt&uid=HitachiXHTS545050B9A300_110110PBN403M7DYXWKEX" CHR DefaultSearchKeyword: Default -> mystartsearch FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Sebastian\AppData\Roaming\Mozilla\Firefox\Profiles\k446gb9g.default\extensions\fftoolbar2014@etech.com FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2966516881-2113031637-2349138176-1000 -> {976C8D33-F7B8-11E3-BBF0-080027009C5E} URL = http://searchinfinitas.com/?affilt=4&q={searchTerms}&id={22EB8586-C3D9-49D1-B940-7FBD249B6E56} SearchScopes: HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Users\Sebastian\AppData\Local\CrashRpt C:\Users\Sebastian\AppData\Local\Installer Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SPBIUpd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WindowsMangerProtect" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy mystartsearch (o ile będzie widoczny). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co on robił wcześniej).

Na temat pobierania z portali: KLIK. I wg raportów problem nie nastąpił podczas pobierania Avast (zresztą na dobrychprogramach akurat ten program nie ma doczepionego "Asystenta pobierania" portalu) lecz JDownloader. Przeprowadź następujące działania: 1. Odinstaluj zbędnik Amazon Browser App oraz starą dziurawą wersję Java™ 6 Update 22. Prawdopodobnie z tej starej niebezpiecznej wersji korzysta JDownloader. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-11] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-11] () HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 Startup: C:\Users\bumida\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk Startup: C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll No File FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\bumida\AppData\Roaming\Mozilla\Firefox\Profiles\9c9tfpcl.default\extensions\fftoolbar2014@etech.com Task: {98EBF1E7-7363-494F-9198-6F551D58B787} - System32\Tasks\{AF8C45E8-DDA6-45AC-9CFB-0450AC24DFB9} => pcalua.exe -a D:\setup.exe -d D:\ Task: {CF5002B4-56DB-4640-BDC8-4468C847ACA7} - System32\Tasks\avastBCLRestartS-1-5-21-3075525339-4195542920-1684508868-1002 => Firefox.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\McAfee C:\Users\bumida\AppData\Roaming\Dropbox C:\Users\bumida\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk C:\Users\bumida\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\bumida\Downloads\*(*)-dp*.exe C:\Users\bumida\Links\Dropbox.lnk C:\Users\Dariusz\AppData\Roaming\Dropbox C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk C:\Users\Dariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\Dariusz\Links\Dropbox.lnk C:\Users\Dariusz\Desktop\Dropbox.lnk C:\Users\Dariusz\Desktop\Z PULPITU\McAfee LiveSafe – Internet Security.lnk Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{1B1B1377-758A-4FA7-9AC9-B81AAC31856D}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{1B1B1377-758A-4FA7-9AC9-B81AAC31856D}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

SpyHunter to program wątpliwej reputacji, był na czarnej liście i do dziś nie można mieć do niego zaufania. 1. Pobierz ponownie FRST (jest nowa wersja). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421003149&from=cor&uid=HitachiXHTS547550A9E384_J2560051F96ZWGF96ZWGX&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\LAPTOP\AppData\Roaming\Mozilla\Firefox\Profiles\ams11q1f.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\LAPTOP\AppData\Roaming\Mozilla\Firefox\Profiles\ams11q1f.default\extensions\faststartff@gmail.com Task: {CC659DD6-D363-4B87-BAB5-BC6AEA49ED52} - System32\Tasks\{67046EC0-43FE-4E9E-9E27-2B61E3B2F4E8} => pcalua.exe -a C:\Users\LAPTOP\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor C:\ProgramData\APN C:\ProgramData\WindowsMangerProtect C:\Program Files (x86)\Temp C:\Users\LAPTOP\AppData\Roaming\omiga-plus EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony skrót Internet Explorer: Shortcut: C:\Users\LAPTOP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\LAPTOP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Upewnij się, że nie jest to problem obniżonego transferu dysku z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.