picasso

1. Wejdź do folderu C:\AdwCleaner\Quarantine. Wyciągnij stamtąd podane foldery i wstaw w pierwotne miejsce. Dopiero po wykonaniu tego: 2. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\BHP\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Gość RemoveDirectory: C:\Users\HomeGroupUser$ Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Kończymy: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {258B1A10-E9D0-4E80-A474-874BB58482A7} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {258B1A10-E9D0-4E80-A474-874BB58482A7} /f RemoveDirectory: C:\Users\Justyna\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń folder C:\Users\Justyna\Desktop\Do logów. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Flash dla Firefox: KLIK.

Brakuje trzeciego pliku FRST Shortcut. Poproszę o link do oryginalnego tematu na pclab co było robione. Skąd podejrzenia infekcji - czy tylko na podstawie opisywanych objawów (one są ogólne i mogą być wynikiem wieeelu usterek, włącznie ze sprzętowymi), czy może wydarzyło się coś jeszcze? Rozwiń wypowiedź "Większość programów w ogóle się nie odpala" = na czym to polega, jakiś szczególny błąd, czy chodzi o zawieszenia / crashe? Jakie zachowanie występuje podczas próby włączania Avast i Kasperskiego? Na razie to tu nic nie wskazuje na infekcję jako przyczynę, choć owszem są pewne ślady (wyglądają na nieczynne). A komunikat o "nieoryginalnej kopii" jest wynikiem dysfunkcji usługi Ochrona oprogramowania: Error: (01/07/2015 05:31:51 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: The Ochrona oprogramowania service failed to start due to the following error: %%1053 Error: (01/07/2015 05:31:51 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: A timeout was reached (30000 milliseconds) while waiting for the Ochrona oprogramowania service to connect. Poproszę o log FRST niefitrowany, tzn. dla pola Services odznacz opcję Whitelist.

Pobierałeś dwa pliki, masz system 64-bit, więc tylko ten z "amd64" w nazwie pasuje: 2015-01-06 20:57 - 2015-01-06 20:57 - 00029384 _____ (Microsoft Corporation) C:\Users\user\Downloads\KB3024777-amd64.exe 2015-01-06 20:53 - 2015-01-06 20:53 - 00028864 _____ (Microsoft Corporation) C:\Users\user\Downloads\KB3024777-x86.exe Po przeprowadzonych operacjach w raporcie nie ma żadnych zmian, od góry do dołu niesygnowane pliki. 1. Na wszelki wypadek sprawdź w Panel sterowania > Programy > Programy i funkcje > Zainstalowane aktualizacje czy widać KB3004394. Jeśli nie: 2. Tu niekoniecznie pochodzenie uszkodzenia jest z przyczyn, które próbowałam naprawiać. Jest więcej możliwości, np. poważniejsze uszkodzenie katalogu catroot, którego nie można odbudować (nie odtworzy się po usunięciu). Jedyne co mogę zaproponować na chwilę obecną, to użycie Przywracania systemu. Punktów jest tu sporo: ==================== Restore Points ========================= 14-11-2014 12:54:26 Zainstalowane WUA-0614 150Mbps Wireless USB Adapter 14-11-2014 13:00:03 Windows Update 14-11-2014 13:03:27 Windows Update 14-11-2014 13:11:44 Windows Update 14-11-2014 13:46:45 Windows Update 14-11-2014 14:00:10 avast! antivirus system restore point 15-11-2014 11:46:50 Usunięte WUA-0614 150Mbps Wireless USB Adapter 15-11-2014 12:06:30 Windows Update 16-11-2014 14:30:13 Windows Update 16-11-2014 14:56:40 Windows Update 16-11-2014 19:04:33 Windows Update 16-11-2014 19:39:01 Windows Update 16-11-2014 20:09:59 Windows Update 16-11-2014 21:39:02 Windows Update 18-11-2014 19:39:29 Windows Update 19-11-2014 02:14:20 Windows Update 20-11-2014 02:09:49 Windows Update 20-11-2014 23:07:21 Windows Update 25-11-2014 14:07:28 Windows Update 28-11-2014 21:52:17 Windows Update 29-11-2014 00:16:29 Zainstalowany program DirectX 01-12-2014 22:09:39 Microsoft Visual C++ 2013 Redistributable (x86) - 12.0.21005 02-12-2014 20:03:20 Windows Update 09-12-2014 21:13:33 Zaplanowany punkt kontrolny 09-12-2014 23:29:34 Windows Update 10-12-2014 01:00:34 Windows Update 17-12-2014 20:49:21 Zaplanowany punkt kontrolny 18-12-2014 23:30:59 Instalacja pakietu sterownika urządzenia: Anchorfree HSS VPN Adapter Karty sieciowe 18-12-2014 23:32:47 Instalacja pakietu sterownika urządzenia: Anchorfree Inc Usługa sieciowa 27-12-2014 19:11:13 Zaplanowany punkt kontrolny 05-01-2015 23:47:46 Removed Vegas Pro 13.0 (64-bit) Niestety nie wiadomo od kiedy występuje usterka systemu kryptograficznego. Proponuję wybrać na oko taką datę, kiedy komputer wydawał się sprawny, o ile możesz to połączyć czasowo.

Poprzednie zadania pomyślnie wykonane i w ostatnim raporcie FRST nie widać oznak infekcji. Na wszelki wypadek podaj jednak nowe raporty FRST (główny + Addition). To typ połączeń "Inbound", czyli przychodzące, co nie oznacza jeszcze infekcji w systemie tylko potencjalnie jej próbę / atak. Program blokuje i OK. Pytania: - Czy zgłoszenia MBAM tyczące Skype są związane z jakąś określoną czynnością w Skype? Przesył linków, otworzone konkretne okno? - W Skype: Narzędzia > Opcje > Zaawansowane > Zarządzaj dostępem innych programów do Skype > co widzisz na liście Kontroli dostępu API? IP 213.55.112.88 jest klasyfikowane jako "etiopskie": KLIK. IP pobierane u Ciebie z routera również jest z puli 213.x.x.x, ono jednak wskazuje adres polskiego providera: KLIK Tcpip\Parameters: [DhcpNameServer] 213.172.186.4 8.8.8.8 Dla absolutnej pewności mógłbyś przestawić w routerze adres Podstawowy, tzn. wprowadzić adresy Google 8.8.8.8 + 8.8.4.4. Podaj jeszcze odczyt z tego skanera: KLIK.

Na wszelki wypadek potwierdź typ infekcji szyfrującej podając log z ID Tool. Opis infekcji CTB-Locker: KLIK. Deszyfracja plików jest niemożliwa: W raportach widzę że próbowałeś dostać się do magazynu kopii cieniowych (instalacja ShadowExplorer). Nic z tego. Infekcja wymazała wszystkie punkty Przywracania systemu, jest tylko jeden z instalacji SpyHunter, zbyt nowy: ==================== Restore Points ========================= 06-01-2015 12:49:20 Installed SpyHunter Z zaszyfrowanymi danymi nie jestem w stanie nic zrobić, mogę za to usunąć czynne infekcje. Ale: To oczywisty wpis infekcji. Nie wiem czy raporty się zmieniły, bo manipulowałeś w międzyczasie, ale wygląda na to, że tu nawet poprawne konto użytkownika się nie ładuje. Logi są zrobione z kontekstu innego konta niż Wujo i na razie muszę się powstrzymać przed zadaniem operacji usuwających, gdyż nie widzę właściwego środowiska. W logu FRST linia "Loaded Profiles" w ogóle nie wykazuje żadnego konta: Loaded Profiles: (Available profiles: Wujo) Konto "Wujo" nie jest załadowane. Konto to ma następujący SID: Wujo (S-1-5-21-3326234350-4050991087-374296464-1000 - Administrator - Enabled) => C:\Users\Wujo FRST skanuje wszystkie profile, w logach brak odniesienia do tego SID. Stoi za to SID konta systemowego: HKU\S-1-5-18\...\Run: [KuhnUmmi] => regsvr32.exe "C:\ProgramData\KuhnUmmi\ZuhjIgtog.yep" To samo OTL widzi jako "current user", co potwierdza niewłaściwy kontekst konta: O4 - HKCU..\Run: [KuhnUmmi] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation) Wszystko co opisane powyżej wskazuje na ten problem z logowaniem via tymczasowe konto: KLIK. Dla pewności poproszę o nowe logi FRST zrobione z poziomu Trybu normalnego a nie awaryjnego. I nie tylko tego brakuje. Infekcja ZeroAccess / Sirefef usuwa masowo z rejestru wszystkie usługi związane z Centrum zabezpieczeń (wscsvc), Zaporą (BFE, MpsSvc, iphlpsvc, SharedAccess), Windows Defender (WinDefend), Windows Update (BITS, wuauserv) i innymi funkcjami (iphlpsvc, PolicyAgent, RemoteAccess). Na razie nic w tym zakresie nie rób, wszystkie procedury rekonstrukcji mam obcykane. Poproszę o raport z Farbar Service Scanner. SpyHunter to program wątpliwej reputacji, kilka lat temu był oficjalnie na czarnej liście. Z listy usunięty, ale nadal niegodny zaufania, praktyki się nie zmieniły w znacznym stopniu. Program stosuje bezczelne triki reklamodawcze, by namówić do instalacji, po której się okazuje, że należy uiszczać opłaty. Wszędzie na forum zalecam deinstalację tego produktu.

Wszystko zrobione i problemu na pewno nie powinno już być. Ale jeszcze poprawki przed nami. Kolejna porcja działań: 1. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\Jump Flip C:\Program Files (x86)\Mobogenie C:\Users\Łukasz\AppData\Local\Mobogenie RemoveDirectory: C:\found.001 RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Prezedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj "Usuń") i przedstaw wynikowy log z folderu C:\AdwCleaner.

1. Wyniki AdwCleaner: wszystkie wyniki z rejestru to fałszywe alarmy na obiektach Skype Click To Call (u Ciebie pod nazwą Skype Toolbars), folder C:\Program Files\AdTrustMedia to też fałszywy alarm (folder COMODO), ale w tym przypadku i tak będzie usuwany, gdyż COMODO się pozbyłeś. Nic nie usuwaj za pomocą AdwCleaner. Po prostu ręcznie skasuj te obiekty: C:\Program Files\AdTrustMedia C:\Windows\System32\log\iSafeKrnlCall.log 2. Jeśli chodzi o odpadki ESET, to zastosuj narzędzie ESET Uninstaller . Narzędzie musi być uruchomione z poziomu Trybu awaryjnego Windows.

Kolejna porcja działań: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. 2. Napraw uszkodzony skrót Internet Explorer: Shortcut: C:\Users\Puderniczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Puderniczek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Folder: C:\Users\Puderniczek\AppData\Local\THQ Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Skoro nie da się go odinstalować, zostanie zastosowana metoda siłowa. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\iWebar Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iWebar /f Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Main" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

To raczej wskazuje na poprawny Skype a nie usunięty już folder SkypEmoticons. Skoro program to wyświetla, to i powinny być nagrane te dane w dziennikach programu - szukaj informacji tekstowej, by tu przekleić.

Proszę zaprezentuj konkretnie gdzie. Mówiłam wcześniej:

Otrzymałam mocno zmodyfikowane dane bez istotnych informacji, które były na tamtym forum. Wszystko było wiadome już od początku. Definitywnie tu była infekcja. Na tamtym forum jest informacja skąd się ładowała, w pierwszym skrypcie bowiem przetwarzano wpis strumienia NTFS: BootExecute: autocheck autochk * C:\Windows\Temp:1 AlternateDataStreams: C:\Windows\Temp:1 Prócz tego co już pokazywałam (pliki udające katalogi), mój skrypt FRST wykazuje mnóstwo innych falsyfikatów blokujących prawidłową instalację i to obojętnego antywirusa, nie tylko ESET - w katalogu Drivers infekcja utworzyła foldery w nazwach symulujące pliki sterowników antywirusów. Przykład blokady Avast: ========= dir /a C:\Windows\system32\drivers ========= 2014-10-10 12:58 aswHwid.sys 2014-10-10 12:58 aswMon2.sys 2014-10-10 12:58 aswMonFlt.sys 2014-10-10 12:58 aswNdis.sys 2014-10-10 12:58 aswNdis2.sys 2014-10-10 12:58 aswNdisFlt.sys 2014-10-10 12:58 aswRdr.sys 2014-10-10 12:58 aswRdr2.sys 2014-10-10 12:58 aswRvrt.sys 2014-10-10 12:58 aswSnx.sys 2014-10-10 12:58 aswSP.sys 2014-10-10 12:58 aswStm.sys 2014-10-10 12:58 aswTdi.sys 2014-10-10 12:58 aswVmm.sys Ale jest tego od groma, wszystkie marki antywirusowe sfałszowane. Te foldery były podmontowane wcześniej jako "usługi" (widać to w pierwszym logu na tamtym forum). Na linkowanym forum podejmowano wątpliwe działania typu przetwarzanie w skrypcie wpisów typu "Locked" - to były komunikaty "tylko do odczytu", że FRST już odblokował te fałszywe "usługi". Oczywiście Fix się nie wykonał. Dodatkowo, jak wykazałam wcześniej C:\Program Files\Windows Defender to jest fałszywy plik a nie folder. Prawdziwy folder systemowy oraz usługa zostały zniszczone i Windows Defender w ogóle nie istnieje w systemie. Jego odtwarzaniem zajmę się potem. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4057883698-1414104491-491510895-1000\...\Policies\Explorer: [HideSCAHealth] 1 Task: {8EBC5BFC-7AAA-45F8-AFEE-0264702222E1} - System32\Tasks\{DF93C777-CFB0-43B0-BEFA-6D0D77C51296} => pcalua.exe -a "C:\Program Files\Babylon\Babylon-Pro\Utils\uninstbb.exe" ListPermissions: C:\Windows\system32\drivers\360AntiHacker.sys RemoveDirectory: C:\Windows\system32\drivers\360AntiHacker.sys RemoveDirectory: C:\Windows\system32\drivers\360AntiHacker64.sys RemoveDirectory: C:\Windows\system32\drivers\360AvFlt.sys RemoveDirectory: C:\Windows\system32\drivers\360Box.sys RemoveDirectory: C:\Windows\system32\drivers\360Box64.sys RemoveDirectory: C:\Windows\system32\drivers\360Camera.sys RemoveDirectory: C:\Windows\system32\drivers\360Camera64.sys RemoveDirectory: C:\Windows\system32\drivers\360FsFlt.sys RemoveDirectory: C:\Windows\system32\drivers\360SelfProtection.sys RemoveDirectory: C:\Windows\system32\drivers\Aavmker4.sys RemoveDirectory: C:\Windows\system32\drivers\abndis.sys RemoveDirectory: C:\Windows\system32\drivers\abp470n5.sys RemoveDirectory: C:\Windows\system32\drivers\afw.sys RemoveDirectory: C:\Windows\system32\drivers\afwcore.sys RemoveDirectory: C:\Windows\system32\drivers\AhnFlt2k.sys RemoveDirectory: C:\Windows\system32\drivers\AhnRec2k.sys RemoveDirectory: C:\Windows\system32\drivers\AhnRghNt.sys RemoveDirectory: C:\Windows\system32\drivers\ahnsze.sys RemoveDirectory: C:\Windows\system32\drivers\ale7_nf.sys RemoveDirectory: C:\Windows\system32\drivers\ale7_nf64.sys RemoveDirectory: C:\Windows\system32\drivers\ale_nf.sys RemoveDirectory: C:\Windows\system32\drivers\ale_nf64.sys RemoveDirectory: C:\Windows\system32\drivers\amm6460.sys RemoveDirectory: C:\Windows\system32\drivers\amm8651.sys RemoveDirectory: C:\Windows\system32\drivers\amm8660.sys RemoveDirectory: C:\Windows\system32\drivers\AMonHKNT.sys RemoveDirectory: C:\Windows\system32\drivers\AMonLWLH.sys RemoveDirectory: C:\Windows\system32\drivers\AMonTDLH.sys RemoveDirectory: C:\Windows\system32\drivers\AMonTDNt.sys RemoveDirectory: C:\Windows\system32\drivers\apkhelper.sys RemoveDirectory: C:\Windows\system32\drivers\APPFLT.SYS RemoveDirectory: C:\Windows\system32\drivers\apsp.sys RemoveDirectory: C:\Windows\system32\drivers\arcawfp.sys RemoveDirectory: C:\Windows\system32\drivers\aswHwid.sys RemoveDirectory: C:\Windows\system32\drivers\aswMon2.sys RemoveDirectory: C:\Windows\system32\drivers\aswMonFlt.sys RemoveDirectory: C:\Windows\system32\drivers\aswNdis.sys RemoveDirectory: C:\Windows\system32\drivers\aswNdis2.sys RemoveDirectory: C:\Windows\system32\drivers\aswNdisFlt.sys RemoveDirectory: C:\Windows\system32\drivers\aswRdr.sys RemoveDirectory: C:\Windows\system32\drivers\aswRdr2.sys RemoveDirectory: C:\Windows\system32\drivers\aswRvrt.sys RemoveDirectory: C:\Windows\system32\drivers\aswSnx.sys RemoveDirectory: C:\Windows\system32\drivers\aswSP.sys RemoveDirectory: C:\Windows\system32\drivers\aswStm.sys RemoveDirectory: C:\Windows\system32\drivers\aswTdi.sys RemoveDirectory: C:\Windows\system32\drivers\aswVmm.sys RemoveDirectory: C:\Windows\system32\drivers\avasdmft.sys RemoveDirectory: C:\Windows\system32\drivers\avc3.sys RemoveDirectory: C:\Windows\system32\drivers\avchv.sys RemoveDirectory: C:\Windows\system32\drivers\avckf.sys RemoveDirectory: C:\Windows\system32\drivers\avf.sys RemoveDirectory: C:\Windows\system32\drivers\avgboota.sys RemoveDirectory: C:\Windows\system32\drivers\avgbootx.sys RemoveDirectory: C:\Windows\system32\drivers\avgdiska.sys RemoveDirectory: C:\Windows\system32\drivers\avgdiskx.sys RemoveDirectory: C:\Windows\system32\drivers\avgfwd6a.sys RemoveDirectory: C:\Windows\system32\drivers\avgfwd6x.sys RemoveDirectory: C:\Windows\system32\drivers\avgfwdx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsdrivera.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsdriverlx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsdriverx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsha.sys RemoveDirectory: C:\Windows\system32\drivers\avgidshx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsshimw8x.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsshimx.sys RemoveDirectory: C:\Windows\system32\drivers\avgldx64.sys RemoveDirectory: C:\Windows\system32\drivers\avgldx86.sys RemoveDirectory: C:\Windows\system32\drivers\avgloga.sys RemoveDirectory: C:\Windows\system32\drivers\avglogx.sys RemoveDirectory: C:\Windows\system32\drivers\avgmfx64.sys RemoveDirectory: C:\Windows\system32\drivers\avgmfx86.sys RemoveDirectory: C:\Windows\system32\drivers\avgntflt.sys RemoveDirectory: C:\Windows\system32\drivers\avgrkx64.sys RemoveDirectory: C:\Windows\system32\drivers\avgrkx86.sys RemoveDirectory: C:\Windows\system32\drivers\avgtdia.sys RemoveDirectory: C:\Windows\system32\drivers\avgtdix.sys RemoveDirectory: C:\Windows\system32\drivers\avgwfpa.sys RemoveDirectory: C:\Windows\system32\drivers\avgwfpx.sys RemoveDirectory: C:\Windows\system32\drivers\avipbb.sys RemoveDirectory: C:\Windows\system32\drivers\avkmgr.sys RemoveDirectory: C:\Windows\system32\drivers\avnetflt.sys RemoveDirectory: C:\Windows\system32\drivers\BAPIDRV.SYS RemoveDirectory: C:\Windows\system32\drivers\BAPIDRV64.SYS RemoveDirectory: C:\Windows\system32\drivers\bcfilter.sys RemoveDirectory: C:\Windows\system32\drivers\bcfsrm.sys RemoveDirectory: C:\Windows\system32\drivers\bcftdi.sys RemoveDirectory: C:\Windows\system32\drivers\bc_hash_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_ip_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_ngn.sys RemoveDirectory: C:\Windows\system32\drivers\bc_pat_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_prt_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_tdi_f.sys RemoveDirectory: C:\Windows\system32\drivers\BdAgent.sys RemoveDirectory: C:\Windows\system32\drivers\bdelam.sys RemoveDirectory: C:\Windows\system32\drivers\bdfndisf.sys RemoveDirectory: C:\Windows\system32\drivers\BdfNdisf6.sys RemoveDirectory: C:\Windows\system32\drivers\bdfsfltr.sys RemoveDirectory: C:\Windows\system32\drivers\BdNet.sys RemoveDirectory: C:\Windows\system32\drivers\bdsandbox.sys RemoveDirectory: C:\Windows\system32\drivers\bdsflt.sys RemoveDirectory: C:\Windows\system32\drivers\bdsnm.sys RemoveDirectory: C:\Windows\system32\drivers\BdSpy.sys RemoveDirectory: C:\Windows\system32\drivers\bdvedisk.sys RemoveDirectory: C:\Windows\system32\drivers\Bfilter.sys RemoveDirectory: C:\Windows\system32\drivers\Bfmon.sys RemoveDirectory: C:\Windows\system32\drivers\Bhbase.sys RemoveDirectory: C:\Windows\system32\drivers\Bprotect.sys RemoveDirectory: C:\Windows\system32\drivers\catflt.sys RemoveDirectory: C:\Windows\system32\drivers\CdmDrvNt.sys RemoveDirectory: C:\Windows\system32\drivers\cfwids.sys RemoveDirectory: C:\Windows\system32\drivers\cmderd.sys RemoveDirectory: C:\Windows\system32\drivers\cmdguard.sys RemoveDirectory: C:\Windows\system32\drivers\cmdhlp.sys RemoveDirectory: C:\Windows\system32\drivers\COMFiltr.sys RemoveDirectory: C:\Windows\system32\drivers\DrWebLwf.sys RemoveDirectory: C:\Windows\system32\drivers\dsaflt.sys RemoveDirectory: C:\Windows\system32\drivers\dsaflt64.sys RemoveDirectory: C:\Windows\system32\drivers\dwprot.sys RemoveDirectory: C:\Windows\system32\drivers\dw_wfp.sys RemoveDirectory: C:\Windows\system32\drivers\eamon.sys RemoveDirectory: C:\Windows\system32\drivers\eamonm.sys RemoveDirectory: C:\Windows\system32\drivers\econceal.sys RemoveDirectory: C:\Windows\system32\drivers\edevmon.sys RemoveDirectory: C:\Windows\system32\drivers\efimon.sys RemoveDirectory: C:\Windows\system32\drivers\ehdrv.sys RemoveDirectory: C:\Windows\system32\drivers\EMLTDI.SYS RemoveDirectory: C:\Windows\system32\drivers\epfw.sys RemoveDirectory: C:\Windows\system32\drivers\EpfwLWF.sys RemoveDirectory: C:\Windows\system32\drivers\epfwndis.sys RemoveDirectory: C:\Windows\system32\drivers\epfwtdi.sys RemoveDirectory: C:\Windows\system32\drivers\epfwwfp.sys RemoveDirectory: C:\Windows\system32\drivers\epfwwfpr.sys RemoveDirectory: C:\Windows\system32\drivers\fnetm64.sys RemoveDirectory: C:\Windows\system32\drivers\fnetmon.sys RemoveDirectory: C:\Windows\system32\drivers\FPAV_RTP.sys RemoveDirectory: C:\Windows\system32\drivers\fsbts.sys RemoveDirectory: C:\Windows\system32\drivers\fwcore.sys RemoveDirectory: C:\Windows\system32\drivers\GDBehave.sys RemoveDirectory: C:\Windows\system32\drivers\gddcd64.sys RemoveDirectory: C:\Windows\system32\drivers\gddcv64.sys RemoveDirectory: C:\Windows\system32\drivers\GDNdisIc.sys RemoveDirectory: C:\Windows\system32\drivers\GDTdiIcpt.sys RemoveDirectory: C:\Windows\system32\drivers\gdwfpcd32.sys RemoveDirectory: C:\Windows\system32\drivers\gdwfpcd64.sys RemoveDirectory: C:\Windows\system32\drivers\gfiark.sys RemoveDirectory: C:\Windows\system32\drivers\gfiutil.sys RemoveDirectory: C:\Windows\system32\drivers\ggc.sys RemoveDirectory: C:\Windows\system32\drivers\gzflt.sys RemoveDirectory: C:\Windows\system32\drivers\HipShieldK.sys RemoveDirectory: C:\Windows\system32\drivers\HookCentre.sys RemoveDirectory: C:\Windows\system32\drivers\HookHelp.sys RemoveDirectory: C:\Windows\system32\drivers\hookport.sys RemoveDirectory: C:\Windows\system32\drivers\Hooksys.sys RemoveDirectory: C:\Windows\system32\drivers\HookTdi.sys RemoveDirectory: C:\Windows\system32\drivers\hvm.sys RemoveDirectory: C:\Windows\system32\drivers\idsflt.sys RemoveDirectory: C:\Windows\system32\drivers\idsflt64.sys RemoveDirectory: C:\Windows\system32\drivers\inspect.sys RemoveDirectory: C:\Windows\system32\drivers\K7FWFilt.sys RemoveDirectory: C:\Windows\system32\drivers\K7FWHlpr.sys RemoveDirectory: C:\Windows\system32\drivers\K7Sentry.sys RemoveDirectory: C:\Windows\system32\drivers\K7TdiHlp.sys RemoveDirectory: C:\Windows\system32\drivers\kl1.sys RemoveDirectory: C:\Windows\system32\drivers\kl2.sys RemoveDirectory: C:\Windows\system32\drivers\klelam.sys RemoveDirectory: C:\Windows\system32\drivers\klflt.sys RemoveDirectory: C:\Windows\system32\drivers\klhk.sys RemoveDirectory: C:\Windows\system32\drivers\klif.sys RemoveDirectory: C:\Windows\system32\drivers\klim5.sys RemoveDirectory: C:\Windows\system32\drivers\klim6.sys RemoveDirectory: C:\Windows\system32\drivers\klpd.sys RemoveDirectory: C:\Windows\system32\drivers\kltdi.sys RemoveDirectory: C:\Windows\system32\drivers\klwfp.sys RemoveDirectory: C:\Windows\system32\drivers\KmxAgent.sys RemoveDirectory: C:\Windows\system32\drivers\KmxAMRT.sys RemoveDirectory: C:\Windows\system32\drivers\KmxCF.sys RemoveDirectory: C:\Windows\system32\drivers\KmxCfg.sys RemoveDirectory: C:\Windows\system32\drivers\KmxFile.sys RemoveDirectory: C:\Windows\system32\drivers\KmxFilter.sys RemoveDirectory: C:\Windows\system32\drivers\KmxFw.sys RemoveDirectory: C:\Windows\system32\drivers\KmxSbx.sys RemoveDirectory: C:\Windows\system32\drivers\KmxStart.sys RemoveDirectory: C:\Windows\system32\drivers\kneps.sys RemoveDirectory: C:\Windows\system32\drivers\kvnet.sys RemoveDirectory: C:\Windows\system32\drivers\kwflower.sys RemoveDirectory: C:\Windows\system32\drivers\kwfupper.sys RemoveDirectory: C:\Windows\system32\drivers\llio.sys RemoveDirectory: C:\Windows\system32\drivers\McPvDrv.sys RemoveDirectory: C:\Windows\system32\drivers\mfeapfk.sys RemoveDirectory: C:\Windows\system32\drivers\mfeavfk.sys RemoveDirectory: C:\Windows\system32\drivers\mfebopk.sys RemoveDirectory: C:\Windows\system32\drivers\mfeclnrk.sys RemoveDirectory: C:\Windows\system32\drivers\mfeelamk.sys RemoveDirectory: C:\Windows\system32\drivers\mfefirek.sys RemoveDirectory: C:\Windows\system32\drivers\mfehidk.sys RemoveDirectory: C:\Windows\system32\drivers\mfencbdc.sys RemoveDirectory: C:\Windows\system32\drivers\mfencrk.sys RemoveDirectory: C:\Windows\system32\drivers\mfewfpk.sys RemoveDirectory: C:\Windows\system32\drivers\MiniIcpt.sys RemoveDirectory: C:\Windows\system32\drivers\MOBK.sys RemoveDirectory: C:\Windows\system32\drivers\mscank.sys RemoveDirectory: C:\Windows\system32\drivers\mwfsmflt.sys RemoveDirectory: C:\Windows\system32\drivers\n64i1644.sys RemoveDirectory: C:\Windows\system32\drivers\netfilter.sys RemoveDirectory: C:\Windows\system32\drivers\NETFLTDI.SYS RemoveDirectory: C:\Windows\system32\drivers\neti1644.sys RemoveDirectory: C:\Windows\system32\drivers\NETTDI64.SYS RemoveDirectory: C:\Windows\system32\drivers\nnetsec.sys RemoveDirectory: C:\Windows\system32\drivers\nnetsecl.sys RemoveDirectory: C:\Windows\system32\drivers\nnetsecl64.sys RemoveDirectory: C:\Windows\system32\drivers\NNSAlpc.sys RemoveDirectory: C:\Windows\system32\drivers\NNSHttp.sys RemoveDirectory: C:\Windows\system32\drivers\NNSHttps.sys RemoveDirectory: C:\Windows\system32\drivers\NNSIds.sys RemoveDirectory: C:\Windows\system32\drivers\NNSNAHS.sys RemoveDirectory: C:\Windows\system32\drivers\NNSNAHSL.sys RemoveDirectory: C:\Windows\system32\drivers\NNSpicc.sys RemoveDirectory: C:\Windows\system32\drivers\NNSpihs.sys RemoveDirectory: C:\Windows\system32\drivers\NNSPihsw.sys RemoveDirectory: C:\Windows\system32\drivers\NNSPop3.sys RemoveDirectory: C:\Windows\system32\drivers\NNSProt.sys RemoveDirectory: C:\Windows\system32\drivers\NNSPrv.sys RemoveDirectory: C:\Windows\system32\drivers\NNSSmtp.sys RemoveDirectory: C:\Windows\system32\drivers\NNSStrm.sys RemoveDirectory: C:\Windows\system32\drivers\NNStlsc.sys RemoveDirectory: C:\Windows\system32\drivers\npf.sys RemoveDirectory: C:\Windows\system32\drivers\NSKernel.sys RemoveDirectory: C:\Windows\system32\drivers\NSNetmon.sys RemoveDirectory: C:\Windows\system32\drivers\nvcv64mf.sys RemoveDirectory: C:\Windows\system32\drivers\OADriver.sys RemoveDirectory: C:\Windows\system32\drivers\oahlp32.sys RemoveDirectory: C:\Windows\system32\drivers\OAmon.sys RemoveDirectory: C:\Windows\system32\drivers\OAnet.sys RemoveDirectory: C:\Windows\system32\drivers\pavboot.sys RemoveDirectory: C:\Windows\system32\drivers\pavboot64.sys RemoveDirectory: C:\Windows\system32\drivers\PavProc.sys RemoveDirectory: C:\Windows\system32\drivers\PCTBD64.sys RemoveDirectory: C:\Windows\system32\drivers\pctBTFix64.sys RemoveDirectory: C:\Windows\system32\drivers\PCTCore64.sys RemoveDirectory: C:\Windows\system32\drivers\pctDS64.sys RemoveDirectory: C:\Windows\system32\drivers\pctEFA64.sys RemoveDirectory: C:\Windows\system32\drivers\pctgntdi64.sys RemoveDirectory: C:\Windows\system32\drivers\pctplsg64.sys RemoveDirectory: C:\Windows\system32\drivers\pctplsm64.sys RemoveDirectory: C:\Windows\system32\drivers\PCTSD64.sys RemoveDirectory: C:\Windows\system32\drivers\pctwfpfilter64.sys RemoveDirectory: C:\Windows\system32\drivers\PktIcpt.sys RemoveDirectory: C:\Windows\system32\drivers\PROCEXP152.SYS RemoveDirectory: C:\Windows\system32\drivers\protreg.sys RemoveDirectory: C:\Windows\system32\drivers\PSINAflt.sys RemoveDirectory: C:\Windows\system32\drivers\PSINFile.sys RemoveDirectory: C:\Windows\system32\drivers\PSINKNC.sys RemoveDirectory: C:\Windows\system32\drivers\PSINProc.sys RemoveDirectory: C:\Windows\system32\drivers\PSINProt.sys RemoveDirectory: C:\Windows\system32\drivers\PSINReg.sys RemoveDirectory: C:\Windows\system32\drivers\PSKMAD.sys RemoveDirectory: C:\Windows\system32\drivers\qutmdrv.sys RemoveDirectory: C:\Windows\system32\drivers\qutmipc.sys RemoveDirectory: C:\Windows\system32\drivers\SandBox.sys RemoveDirectory: C:\Windows\system32\drivers\SandBox64.sys RemoveDirectory: C:\Windows\system32\drivers\savonaccess.sys RemoveDirectory: C:\Windows\system32\drivers\savonaccesscontrol.sys RemoveDirectory: C:\Windows\system32\drivers\savonaccessfilter.sys RemoveDirectory: C:\Windows\system32\drivers\sbaphd.sys RemoveDirectory: C:\Windows\system32\drivers\sbapifs.sys RemoveDirectory: C:\Windows\system32\drivers\SbFw.sys RemoveDirectory: C:\Windows\system32\drivers\SbFwIm.sys RemoveDirectory: C:\Windows\system32\drivers\sbhips.sys RemoveDirectory: C:\Windows\system32\drivers\sbtis.sys RemoveDirectory: C:\Windows\system32\drivers\sbwtis.sys RemoveDirectory: C:\Windows\system32\drivers\scfdriver.sys RemoveDirectory: C:\Windows\system32\drivers\scfndis.sys RemoveDirectory: C:\Windows\system32\drivers\ShldFlt.sys RemoveDirectory: C:\Windows\system32\drivers\ShlDrv51.sys RemoveDirectory: C:\Windows\system32\drivers\skmscan.sys RemoveDirectory: C:\Windows\system32\drivers\SophosBootDriver.sys RemoveDirectory: C:\Windows\system32\drivers\spiderg3.sys RemoveDirectory: C:\Windows\system32\drivers\ssmdrv.sys RemoveDirectory: C:\Windows\system32\drivers\SYMEVENT.SYS RemoveDirectory: C:\Windows\system32\drivers\SYMEVENT64x86.SYS RemoveDirectory: C:\Windows\system32\drivers\SysPlant.sys RemoveDirectory: C:\Windows\system32\drivers\tdifw.sys RemoveDirectory: C:\Windows\system32\drivers\tdi_nf.sys RemoveDirectory: C:\Windows\system32\drivers\Teefer.sys RemoveDirectory: C:\Windows\system32\drivers\tmactmon.sys RemoveDirectory: C:\Windows\system32\drivers\tmcomm.sys RemoveDirectory: C:\Windows\system32\drivers\TMEBC32.sys RemoveDirectory: C:\Windows\system32\drivers\TMEBC64.sys RemoveDirectory: C:\Windows\system32\drivers\tmeevw.sys RemoveDirectory: C:\Windows\system32\drivers\tmevtmgr.sys RemoveDirectory: C:\Windows\system32\drivers\tmnciesc.sys RemoveDirectory: C:\Windows\system32\drivers\tmusa.sys RemoveDirectory: C:\Windows\system32\drivers\tpdevflt.sys RemoveDirectory: C:\Windows\system32\drivers\tpsec.sys RemoveDirectory: C:\Windows\system32\drivers\Trufos.sys RemoveDirectory: C:\Windows\system32\drivers\TS4nt.sys RemoveDirectory: C:\Windows\system32\drivers\v3engine.sys RemoveDirectory: C:\Windows\system32\drivers\VBEngNT.sys RemoveDirectory: C:\Windows\system32\drivers\vsdatant.sys RemoveDirectory: C:\Windows\system32\drivers\webssx.sys RemoveDirectory: C:\Windows\system32\drivers\WGX64.SYS RemoveDirectory: C:\Windows\system32\drivers\wnmflt.sys RemoveDirectory: C:\Windows\system32\drivers\wnmflt64.sys RemoveDirectory: C:\Windows\system32\drivers\WRkrn.sys RemoveDirectory: C:\Windows\system32\drivers\wsnf.sys RemoveDirectory: C:\Windows\system32\drivers\wstif.sys Unlock: C:\Program Files\Microsoft Security Client Unlock: C:\Program Files\NortonInstaller Unlock: C:\Program Files\Trend Micro Installer Unlock: C:\Program Files\Windows Defender Unlock: C:\ProgramData\ESET Unlock: C:\ProgramData\NortonInstaller Unlock: C:\ProgramData\Trend Micro Installer Unlock: C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps Unlock: C:\Users\Sylwester Sobkowiak\AppData\Roaming\IObit Apps C:\Program Files\AlphaChessHistory.dat C:\Program Files\Common Files\Softwin C:\Program Files\Common Files\Symantec Shared C:\Program Files\GamingWonderlandEI C:\Program Files\GUM2809.tmp C:\Program Files\GUMC6A8.tmp C:\Program Files\GUTC6E8.tmp C:\Program Files\Kroll Ontrack C:\Program Files\Mozilla Firefox C:\Program Files\Nitro PDF C:\Program Files\NortonInstaller C:\Program Files\RealPopup C:\Program Files\Softwin C:\Program Files\Temp C:\Program Files\Tor C:\Program Files\Trend Micro Installer C:\ProgramData\HitmanPro C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Symantec C:\ProgramData\Trend Micro Installer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AlphaChess 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Uninstaller.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Update.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader.lnk C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps C:\Users\Sylwester Sobkowiak\AppData\Local\Mozilla C:\Users\Sylwester Sobkowiak\AppData\Local\nsg6B92.tmp C:\Users\Sylwester Sobkowiak\AppData\Local\nsy3E40.tmp C:\Users\Sylwester Sobkowiak\AppData\Local\Seven Zip C:\Users\Sylwester Sobkowiak\AppData\Local\WindowsUpdate C:\Users\Sylwester Sobkowiak\AppData\Roaming\CEZEO software C:\Users\Sylwester Sobkowiak\AppData\Roaming\cwbritga C:\Users\Sylwester Sobkowiak\AppData\Roaming\FLVPlayerPackages C:\Users\Sylwester Sobkowiak\AppData\Roaming\FunmoodsChat C:\Users\Sylwester Sobkowiak\AppData\Roaming\IObit Apps C:\Users\Sylwester Sobkowiak\AppData\Roaming\Mozilla C:\Users\Sylwester Sobkowiak\AppData\Roaming\NIWHJ C:\Users\Sylwester Sobkowiak\AppData\Roaming\o1o1aFVzWL0 C:\Users\Sylwester Sobkowiak\AppData\Roaming\PrimoPDF C:\Users\Sylwester Sobkowiak\AppData\Roaming\PrimoPDFSet.xml C:\Users\Sylwester Sobkowiak\AppData\Roaming\QuickMessenger C:\Users\Sylwester Sobkowiak\AppData\Roaming\TeamViewer C:\Users\Sylwester Sobkowiak\AppData\Roaming\WWXWQSSS C:\Users\Sylwester Sobkowiak\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player FLV Player.lnk C:\Users\Sylwester Sobkowiak\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player Uninstall FLV Player.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\system32\drivers\01E8782C.sys C:\Windows\system32\drivers\058074E8.sys C:\Windows\system32\drivers\0B584EBA.sys C:\Windows\system32\drivers\46145E6A.sys C:\Windows\system32\drivers\47957877.sys C:\Windows\system32\drivers\5C017815.sys C:\Windows\system32\drivers\5F9974D1.sys C:\Windows\system32\drivers\etc\hosts.old CMD: attrib -r -s -h "C:\Program Files\Microsoft Security Client" CMD: attrib -r -s -h "C:\Program Files\Windows Defender" CMD: del /q "C:\Program Files\Microsoft Security Client" CMD: del /q "C:\Program Files\Windows Defender" Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GamingWonderland Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RealPopup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Robot Boom Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg query HKCU\Software Reg: reg query HKLM\SOFTWARE Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender" /s CMD: dir /a "C:\Users\Iga\AppData\Local" CMD: dir /a "C:\Users\Iga\AppData\LocalLow" CMD: dir /a "C:\Users\Iga\AppData\Roaming" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Sprawdź czy jesteś w stanie odinstalować ESET Remote Administrator Console. Na razie nie próbuj instalować ESET.

Na podanej stronie Fix-it skorzystaj z alternatywnego linka opisanego jako "Zaawansowane — pobierz narzędzie do uruchomienia na innym lub niepołączonym komputerze".

Rozpocznij od podania obowiązkowych raportów: KLIK.

Na przyszłość: zawsze przed czyszczeniem AdwCleaner w pierwszej kolejności udaj się do opcji przeglądarki, gdyż jak mówiłam to najlepsza i najzdrowsza metoda. W tym przypadku chodziło o wyszukiwarki, czyli Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > ustawić Google jako domyślną i skasować wszystkie śmieci. Gdyby to zostało wykonane przed uruchomieniem AdwCleaner, nie wykryłby żadnych wpisów pobieranych z pliku "Web data". Oczywiście mówimy o usuwaniu podczas gdy synchronizacja jest wyłączona, co już tu zostało zaadresowane. Fix wykonany. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Ten nieszczęsny "Installer" niedostatecznie szybko usunięty z Harmonogramu zadań zrekonstruował adware. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [File not signed] Task: {0FF5500F-BA45-4259-B506-931C745CFA39} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe [2014-12-30] (iWebar) Task: {18586F65-3161-44DF-A0BA-B9CE3B64CCF9} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe [2014-12-28] (Object Browser) Task: {1F80EB38-3BD8-44C0-AB3E-2D941BB3CDD9} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2.exe [2014-12-30] (iWebar) Task: {30A2CC9B-A358-4C4B-AEB6-2E36CA704BFD} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5_user => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe [2014-12-28] (Object Browser) Task: {603B4CA3-AD4C-47E6-A285-C02A72272A2F} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-11 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-11.exe [2014-12-28] (Object Browser) Task: {6B2D90A9-51D3-446C-B6B4-5704900C4AD0} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-2 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-2.exe [2014-12-28] (Object Browser) Task: {86F537CB-978E-45F1-B3AB-88118E205F3E} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-4 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-4.exe [2014-12-28] (Object Browser) Task: {90D2C62D-3DC3-4F90-9165-09D93ADF5FD5} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5_user => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe [2014-12-30] (iWebar) Task: {9B7F706F-06AF-48F2-83C4-64158F772B75} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-1 => C:\Program Files (x86)\SensePlus\SensePlus-codedownloader.exe [2014-12-28] (Object Browser) Task: {9DB8BEC5-2368-44F4-933B-A27A37313952} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe [2014-12-30] (iWebar) Task: {C598F1CE-D210-49DC-9410-9B21EFD910B3} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {DE5C409A-4B5B-41AE-B30A-2947C4DB2DE7} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {EBD08F10-B078-448A-9E15-5782463B105D} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11.exe [2014-12-30] (iWebar) Task: {EBEB6CB1-B05F-4269-A817-12EB2504192A} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4.exe [2014-12-30] (iWebar) Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-1.job => C:\Program Files (x86)\SensePlus\SensePlus-codedownloader.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-11.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-11.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-2.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-2.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-4.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-4.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5_user.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5_user.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll (iWebar) BHO: SensePlus -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\SensePlus\SensePlus-bho64.dll (Object Browser) BHO-x32: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll (iWebar) BHO-x32: SensePlus -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\SensePlus\SensePlus-bho.dll (Object Browser) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YouTube Accelerator C:\Users\Dominik\AppData\Local\globalUpdate C:\Users\Dominik\AppData\Roaming\*.exe C:\Windows\msdownld.tmp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware iWebar, SensePlus. 3. Czyszczenie przeglądarek: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Opera: CTRL+SHIFT+E i z listy rozszerzeń odinstaluj iWebar, SensePlus (o ile nadal będą widoczne po w/w deinstalacji). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Posty dla porządku połączyłam. Brakuje trzeciego pliku FRST Shortcut. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {cc30460f-753f-44d9-b58c-13dae1321968}w64; C:\Windows\System32\drivers\{cc30460f-753f-44d9-b58c-13dae1321968}w64.sys [61120 2014-05-22] (StdLib) R2 MaintainerSvc1.47.6049145; C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4\maintainer.exe [117248 2015-01-07] () [File not signed] S4 Update Jump Flip; C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe [525600 2014-11-11] () S4 Util Jump Flip; C:\Program Files (x86)\Jump Flip\bin\utilJumpFlip.exe [525600 2014-11-11] () Task: {0A9C3B2C-6EDC-4465-83D1-18206625AF9F} - System32\Tasks\FoxTab => C:\Users\Łukasz\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {17E08DF3-1B52-44AA-B20B-4DB1D4D1F708} - System32\Tasks\Yahoo! Search Updater => C:\Users\Łukasz\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe [2014-10-28] (Pay By Ads LTD) Task: {3B220F81-058D-4FFD-BD33-1DDDD469B44E} - System32\Tasks\Object Browser-updater => C:\Program Files (x86)\Object Browser\Object Browser-updater.exe [2013-10-28] (Object Browser) Task: {69BC01A4-C0A1-4345-BF45-66C64FEFA8D8} - \Program aktualizacji online firmy Adobe. No Task File Task: {8C54882E-AEA3-4041-8898-B282B17F9AC3} - System32\Tasks\APSnotifierCA => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-01-03] (AnyProtect by CMI) Task: {AE137C06-C300-48A9-B925-5F807252EB3B} - System32\Tasks\Yahoo! Search => C:\Users\Łukasz\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [2014-10-28] (Pay By Ads LTD) Task: {C78F7BEA-3118-4028-ADF1-5D6D25A3297F} - System32\Tasks\Object Browser-codedownloader => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe [2013-10-28] (Object Browser) Task: {F434DB19-E3B3-4DB6-9F62-62E390E10F03} - System32\Tasks\Object Browser-chromeinstaller => C:\Program Files (x86)\Object Browser\Object Browser-chromeinstaller.exe [2013-10-28] (Object Browser) Task: C:\Windows\Tasks\APSnotifierCA.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\UKASZ~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Object Browser-chromeinstaller.job => C:\Program Files (x86)\Object Browser\Object Browser-chromeinstaller.exe Task: C:\Windows\Tasks\Object Browser-codedownloader.job => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe Task: C:\Windows\Tasks\Object Browser-updater.job => C:\Program Files (x86)\Object Browser\Object Browser-updater.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761024 2013-12-13] () HKU\S-1-5-21-1589615028-449597307-100043145-1000\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Aukasz\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\S-1-5-21-1589615028-449597307-100043145-1000\...\Run: [Yahoo! Search] => C:\Users\Aukasz\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-1589615028-449597307-100043145-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKU\S-1-5-21-1589615028-449597307-100043145-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00032955&OHP=http%3A%2F%2Fwww.gogle.com%2F&OSP=http%3A%2F%2Fwww.bing.com%2Fsearch%3Fq%3D{searchTerms}%26src%3DIE-SearchBox%26FORM%3DIESR02 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382997416&from=cor&uid=WDCXWD5000BEVT-22ZAT0_WD-WXH1A30C6687C6687 SearchScopes: HKLM -> DefaultScope {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382997417&from=cor&uid=WDCXWD5000BEVT-22ZAT0_WD-WXH1A30C6687C6687&q={searchTerms} SearchScopes: HKLM -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382997417&from=cor&uid=WDCXWD5000BEVT-22ZAT0_WD-WXH1A30C6687C6687&q={searchTerms} SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO: Object Browser -> {11111111-1111-1111-1111-110311281150} -> C:\Program Files (x86)\Object Browser\Object Browser-bho64.dll (Object Browser) BHO-x32: Object Browser -> {11111111-1111-1111-1111-110311281150} -> C:\Program Files (x86)\Object Browser\Object Browser-bho.dll (Object Browser) BHO-x32: Jump Flip -> {6db9fdfe-b718-4962-be0c-0a5fce7f7f7b} -> C:\Program Files (x86)\Jump Flip\JumpFlipBHO.dll (Jump Flip) FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4 C:\ProgramData\TEMP C:\Users\Łukasz\daemonprocess.txt C:\Users\Łukasz\AppData\Local\CRE C:\Users\Łukasz\AppData\Local\Google C:\Users\Łukasz\AppData\Roaming\newnext.me C:\Windows\System32\drivers\{cc30460f-753f-44d9-b58c-13dae1321968}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: type C:\Windows\System32\Tasks\{4E61A813-426C-4D00-B47F-8C3B95E477DB} CMD: type C:\Windows\System32\Tasks\{55550104-1865-49B7-9C50-2C1E09F563AC} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: AnyProtect, AnyProtect Packages, Foxtab, Jump Flip, Microsoft Word Packages, Mobogenie, Object Browser, Softonic for Windows, Yahoo! Search. - Stare wersje: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 45. Najnowsze wersje zainstalujesz na końcu. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Na przyszłość: proszę podążaj za moimi instrukcjami 1:1 i nie podejmuj działań na własną rękę. Celowo miało być tylko Szukaj, a nie od razu Usuń! Wyniki miały być sprawdzone na okoliczność fałszywych alarmów. Skutki uboczne Twojej akcji - AdwCleaner wywalił poprawne foldery programu VideoPad Video Editor: ***** [ Pliki / Foldery ] ***** Folder Usunięto : C:\ProgramData\NCH Software Folder Usunięto : C:\Program Files\NCH Software Folder Usunięto : C:\Users\BHP\AppData\Roaming\NCH Software Poleciały też conajmniej dwa poprawne klucze (od powyższego oraz Skype Click to Call for Internet Explorer), a czy nie więcej nie mam czasu sprawdzać. Odzyskaj z kwarantanny usunięte foldery. Ale w związku z tym, że rejestr został naruszony (nie ma kopii zapasowej tego), oba programy do reinstalacji.

Zapomniałam napisać poprzednio, że zestaw logów jest niekompletny - brakuje trzeciego pliku FRST Shortcut. Jeśli chodzi o pobór danych Opery, FRST nie mógł otworzyć pliku Preferences Opery, ale widać że jedyne rozszerzenie tam zainstalowane to Adblock Plus, za to komenda otwierania Opery jest przejęta przez delta-homes.com. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1fceab11-b7eb-4010-811f-3f56268f9366}t; C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys [55816 2014-12-30] (StdLib) R1 {2b4f8230-394e-4951-9495-bafd44d837da}t; C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys [55816 2014-12-27] (StdLib) R1 {3211ae5b-d056-4176-9f6e-b51496f003f1}t; C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys [55816 2014-12-14] (StdLib) R1 {34cccceb-a541-48ac-a26b-92818f06439d}t; C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys [55816 2015-01-02] (StdLib) R1 {47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t; C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys [55816 2014-12-15] (StdLib) R1 {8aefbcaf-640f-4dca-9a92-ed05ee387238}t; C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys [55816 2014-12-21] (StdLib) R1 {97daceee-c4d3-4ae1-975b-b77d85ce2d13}t; C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys [55816 2014-12-23] (StdLib) R1 {993baf86-643c-42e9-95e5-094f337533f0}t; C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys [55816 2014-12-17] (StdLib) R1 {9eaa49e2-6918-49c4-9a04-be590dd80dc6}t; C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys [55816 2015-01-05] (StdLib) R2 Update DigiHelp; C:\Program Files\DigiHelp\updateDigiHelp.exe [529128 2015-01-07] () R2 Util DigiHelp; C:\Program Files\DigiHelp\bin\utilDigiHelp.exe [529128 2015-01-07] () R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [470704 2014-12-17] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {1FDE0B1D-38E5-4E14-BCF0-132E3A8EA860} - System32\Tasks\pricemetertask => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeter.exe Task: {A8BB7BB6-3E16-4072-92A5-93BE64064E8A} - System32\Tasks\pricemeterdownloader => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterd.exe [2014-05-06] (PriceMeter) Task: {C6928140-D30F-470B-8253-D540717E41AB} - System32\Tasks\pricemeterwatcher => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [2014-05-04] (PriceMeter) HKLM\...\Run: [fst_pl_127] => [X] HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [PriceMeterW] => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [287232 2014-05-04] (PriceMeter) HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [AdobeBridge] => [X] AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\Program Files\SupTab\SearchProtect32.dll [91248 2014-05-08] (Skytech Co., Ltd.) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={DE289BFE-EFC6-4173-8DB3-5012550C5C4C}&mid=b4acfa79299247d2bc4ed16b53160544-6d6a121b0d2c7c6e45c51db57f8bd774ff757963&lang=en&ds=px011&coid=avgtbdispx&cmpid=&pr=sa&d=2014-06-19 10:56:34&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} BHO: DigiHelp 1.0.0.6 -> {5bee7be9-df29-4c14-a18e-2bdd06205e29} -> C:\Program Files\DigiHelp\DigiHelpBHO.dll (DigiHelp) CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-06-07] CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 C:\Program Files\DigiHelp C:\Program Files\SupTab C:\ProgramData\WindowsProtectManger C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Dorota\AppData\Roaming\eCyber C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\Opera\Launcher.exe"" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: AVG SafeGuard toolbar, Price Metér (remove only), qone8 uninstaller, WinZipper. - Stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 13 Plugin, Adobe Flash Player 15 Pepper, Adobe Reader X (10.1.0) - Polish 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware DigiHelp, Quick start, Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Teraz zadanie wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CMD: sc config "Internet Manager. RunOuc" start= disabled C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Program Files\DriverToolkit C:\Program Files\Mirillis C:\Program Files\NuGet C:\Program Files\Opera C:\Program Files\predm C:\ProgramData\13dcb93d2c61d501 C:\ProgramData\AVG C:\ProgramData\log C:\ProgramData\McAfee C:\ProgramData\Mirillis C:\ProgramData\NuGet C:\ProgramData\Oracle C:\ProgramData\pricechOp C:\ProgramData\Sun C:\ProgramData\Trusted Publisher C:\ProgramData\WindowsMangerProtect C:\Users\BHP\AppData\Local\Apple Computer C:\Users\BHP\AppData\Local\AVG C:\Users\BHP\AppData\Local\bitComposer C:\Users\BHP\AppData\Local\Chromatic Browser C:\Users\BHP\AppData\Local\Comodo C:\Users\BHP\AppData\Local\Depression Quest C:\Users\BHP\AppData\Local\DriverToolkit C:\Users\BHP\AppData\Local\DVDVideoSoft_Ltd C:\Users\BHP\AppData\Local\GG C:\Users\BHP\AppData\Local\globalUpdate C:\Users\BHP\AppData\Local\Installer C:\Users\BHP\AppData\Local\Mirillis C:\Users\BHP\AppData\Local\OpenFM C:\Users\BHP\AppData\Local\Opera Software C:\Users\BHP\AppData\Local\PriceMeter C:\Users\BHP\AppData\Local\Torch C:\Users\BHP\AppData\Local\WorldofTanks C:\Users\BHP\AppData\LocalLow\Ge-Force C:\Users\BHP\AppData\LocalLow\Sun C:\Users\BHP\AppData\LocalLow\TheTorntv V10 C:\Users\BHP\AppData\Roaming\Apple Computer C:\Users\BHP\AppData\Roaming\AVG C:\Users\BHP\AppData\Roaming\CodeBlocks C:\Users\BHP\AppData\Roaming\dclogs C:\Users\BHP\AppData\Roaming\DVDVideoSoft C:\Users\BHP\AppData\Roaming\GG C:\Users\BHP\AppData\Roaming\Mirillis C:\Users\BHP\AppData\Roaming\NuGet C:\Users\BHP\AppData\Roaming\OpenCandy C:\Users\BHP\AppData\Roaming\Opera Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem bez restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Domyślną przeglądarką jest tu Opera: Internet Explorer Version 9 (Default browser: Opera) Niestety FRST i OTL nie skanują jej preferencji, więc mimo że widać już liczne adware w raportach, nie mam pełnego obrazu sytuacji (w Operze też mogą być obiekty adware). Muszę pobrać o niej dane ręcznie. Czyli na razie tylko informacje dostarcz, tzn. zamknij przeglądarkę, otwórz Notatnik i wklej w nim: Folder: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Hardware. Nie ma tu co szukać żadnych infekcji. W Dzienniku zdarzeń liczne rekordy typu: System errors: ============= Error: (01/02/2015 11:48:25 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:25 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:24 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:24 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:21 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:21 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 02:35:33 AM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! Error: (01/02/2015 02:34:36 AM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! vs. zestaw dysków: ==================== Drives ================================ Drive b: (Dysk1) (Fixed) (Total:931.51 GB) (Free:242.64 GB) NTFS Drive c: () (Fixed) (Total:119.14 GB) (Free:38.73 GB) NTFS Drive d: (Dysk2) (Fixed) (Total:931.51 GB) (Free:527.14 GB) NTFS Drive f: (MUSIC) (Removable) (Total:29.44 GB) (Free:26.03 GB) FAT32 ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D624D408) Partition 1: (Not Active) - (Size=931.5 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (MBR Code: Windows 7 or 8) (Size: 119.2 GB) (Disk ID: BCA7F6DD) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=119.1 GB) - (Type=07 NTFS) ======================================================== Disk: 2 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D624D40F) Partition 1: (Not Active) - (Size=931.5 GB) - (Type=07 NTFS) ======================================================== Disk: 3 (Size: 29.5 GB) (Disk ID: 62756C20) No partition Table on disk 3. Zdefiniowanie czym jest \Device\HarddiskVolume3: KLIK. Co dostarczyć: KLIK.

vs. Tu jeszcze nie koniec działań. Jesteśmy na samym początku: Tak, gdyż Fix w ogóle nic nie zrobił. Nie wiem co użyłeś do przeklejania do Notatnika, ale zniszczyłeś cały skrypt, wszystkie slesze wymazane i FRST nie przetworzył prawie niczego. Np. w moim skrypcie jest: R1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw; C:\Windows\System32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys [43152 2015-01-06] (StdLib) A u Ciebie: R1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw; CWindowsSystem32drivers{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys [43152 2015-01-06] (StdLib) Dodatkowo, obciąłeś kropki w ostatniej komendzie EmptyTemp: Powtarzasz punkty 2 i 4 z poprzedniej instrukcji.

Wszystko zrobione. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.