picasso

To raczej wskazuje na poprawny Skype a nie usunięty już folder SkypEmoticons. Skoro program to wyświetla, to i powinny być nagrane te dane w dziennikach programu - szukaj informacji tekstowej, by tu przekleić.

Proszę zaprezentuj konkretnie gdzie. Mówiłam wcześniej:

Otrzymałam mocno zmodyfikowane dane bez istotnych informacji, które były na tamtym forum. Wszystko było wiadome już od początku. Definitywnie tu była infekcja. Na tamtym forum jest informacja skąd się ładowała, w pierwszym skrypcie bowiem przetwarzano wpis strumienia NTFS: BootExecute: autocheck autochk * C:\Windows\Temp:1 AlternateDataStreams: C:\Windows\Temp:1 Prócz tego co już pokazywałam (pliki udające katalogi), mój skrypt FRST wykazuje mnóstwo innych falsyfikatów blokujących prawidłową instalację i to obojętnego antywirusa, nie tylko ESET - w katalogu Drivers infekcja utworzyła foldery w nazwach symulujące pliki sterowników antywirusów. Przykład blokady Avast: ========= dir /a C:\Windows\system32\drivers ========= 2014-10-10 12:58 aswHwid.sys 2014-10-10 12:58 aswMon2.sys 2014-10-10 12:58 aswMonFlt.sys 2014-10-10 12:58 aswNdis.sys 2014-10-10 12:58 aswNdis2.sys 2014-10-10 12:58 aswNdisFlt.sys 2014-10-10 12:58 aswRdr.sys 2014-10-10 12:58 aswRdr2.sys 2014-10-10 12:58 aswRvrt.sys 2014-10-10 12:58 aswSnx.sys 2014-10-10 12:58 aswSP.sys 2014-10-10 12:58 aswStm.sys 2014-10-10 12:58 aswTdi.sys 2014-10-10 12:58 aswVmm.sys Ale jest tego od groma, wszystkie marki antywirusowe sfałszowane. Te foldery były podmontowane wcześniej jako "usługi" (widać to w pierwszym logu na tamtym forum). Na linkowanym forum podejmowano wątpliwe działania typu przetwarzanie w skrypcie wpisów typu "Locked" - to były komunikaty "tylko do odczytu", że FRST już odblokował te fałszywe "usługi". Oczywiście Fix się nie wykonał. Dodatkowo, jak wykazałam wcześniej C:\Program Files\Windows Defender to jest fałszywy plik a nie folder. Prawdziwy folder systemowy oraz usługa zostały zniszczone i Windows Defender w ogóle nie istnieje w systemie. Jego odtwarzaniem zajmę się potem. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4057883698-1414104491-491510895-1000\...\Policies\Explorer: [HideSCAHealth] 1 Task: {8EBC5BFC-7AAA-45F8-AFEE-0264702222E1} - System32\Tasks\{DF93C777-CFB0-43B0-BEFA-6D0D77C51296} => pcalua.exe -a "C:\Program Files\Babylon\Babylon-Pro\Utils\uninstbb.exe" ListPermissions: C:\Windows\system32\drivers\360AntiHacker.sys RemoveDirectory: C:\Windows\system32\drivers\360AntiHacker.sys RemoveDirectory: C:\Windows\system32\drivers\360AntiHacker64.sys RemoveDirectory: C:\Windows\system32\drivers\360AvFlt.sys RemoveDirectory: C:\Windows\system32\drivers\360Box.sys RemoveDirectory: C:\Windows\system32\drivers\360Box64.sys RemoveDirectory: C:\Windows\system32\drivers\360Camera.sys RemoveDirectory: C:\Windows\system32\drivers\360Camera64.sys RemoveDirectory: C:\Windows\system32\drivers\360FsFlt.sys RemoveDirectory: C:\Windows\system32\drivers\360SelfProtection.sys RemoveDirectory: C:\Windows\system32\drivers\Aavmker4.sys RemoveDirectory: C:\Windows\system32\drivers\abndis.sys RemoveDirectory: C:\Windows\system32\drivers\abp470n5.sys RemoveDirectory: C:\Windows\system32\drivers\afw.sys RemoveDirectory: C:\Windows\system32\drivers\afwcore.sys RemoveDirectory: C:\Windows\system32\drivers\AhnFlt2k.sys RemoveDirectory: C:\Windows\system32\drivers\AhnRec2k.sys RemoveDirectory: C:\Windows\system32\drivers\AhnRghNt.sys RemoveDirectory: C:\Windows\system32\drivers\ahnsze.sys RemoveDirectory: C:\Windows\system32\drivers\ale7_nf.sys RemoveDirectory: C:\Windows\system32\drivers\ale7_nf64.sys RemoveDirectory: C:\Windows\system32\drivers\ale_nf.sys RemoveDirectory: C:\Windows\system32\drivers\ale_nf64.sys RemoveDirectory: C:\Windows\system32\drivers\amm6460.sys RemoveDirectory: C:\Windows\system32\drivers\amm8651.sys RemoveDirectory: C:\Windows\system32\drivers\amm8660.sys RemoveDirectory: C:\Windows\system32\drivers\AMonHKNT.sys RemoveDirectory: C:\Windows\system32\drivers\AMonLWLH.sys RemoveDirectory: C:\Windows\system32\drivers\AMonTDLH.sys RemoveDirectory: C:\Windows\system32\drivers\AMonTDNt.sys RemoveDirectory: C:\Windows\system32\drivers\apkhelper.sys RemoveDirectory: C:\Windows\system32\drivers\APPFLT.SYS RemoveDirectory: C:\Windows\system32\drivers\apsp.sys RemoveDirectory: C:\Windows\system32\drivers\arcawfp.sys RemoveDirectory: C:\Windows\system32\drivers\aswHwid.sys RemoveDirectory: C:\Windows\system32\drivers\aswMon2.sys RemoveDirectory: C:\Windows\system32\drivers\aswMonFlt.sys RemoveDirectory: C:\Windows\system32\drivers\aswNdis.sys RemoveDirectory: C:\Windows\system32\drivers\aswNdis2.sys RemoveDirectory: C:\Windows\system32\drivers\aswNdisFlt.sys RemoveDirectory: C:\Windows\system32\drivers\aswRdr.sys RemoveDirectory: C:\Windows\system32\drivers\aswRdr2.sys RemoveDirectory: C:\Windows\system32\drivers\aswRvrt.sys RemoveDirectory: C:\Windows\system32\drivers\aswSnx.sys RemoveDirectory: C:\Windows\system32\drivers\aswSP.sys RemoveDirectory: C:\Windows\system32\drivers\aswStm.sys RemoveDirectory: C:\Windows\system32\drivers\aswTdi.sys RemoveDirectory: C:\Windows\system32\drivers\aswVmm.sys RemoveDirectory: C:\Windows\system32\drivers\avasdmft.sys RemoveDirectory: C:\Windows\system32\drivers\avc3.sys RemoveDirectory: C:\Windows\system32\drivers\avchv.sys RemoveDirectory: C:\Windows\system32\drivers\avckf.sys RemoveDirectory: C:\Windows\system32\drivers\avf.sys RemoveDirectory: C:\Windows\system32\drivers\avgboota.sys RemoveDirectory: C:\Windows\system32\drivers\avgbootx.sys RemoveDirectory: C:\Windows\system32\drivers\avgdiska.sys RemoveDirectory: C:\Windows\system32\drivers\avgdiskx.sys RemoveDirectory: C:\Windows\system32\drivers\avgfwd6a.sys RemoveDirectory: C:\Windows\system32\drivers\avgfwd6x.sys RemoveDirectory: C:\Windows\system32\drivers\avgfwdx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsdrivera.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsdriverlx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsdriverx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsha.sys RemoveDirectory: C:\Windows\system32\drivers\avgidshx.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsshimw8x.sys RemoveDirectory: C:\Windows\system32\drivers\avgidsshimx.sys RemoveDirectory: C:\Windows\system32\drivers\avgldx64.sys RemoveDirectory: C:\Windows\system32\drivers\avgldx86.sys RemoveDirectory: C:\Windows\system32\drivers\avgloga.sys RemoveDirectory: C:\Windows\system32\drivers\avglogx.sys RemoveDirectory: C:\Windows\system32\drivers\avgmfx64.sys RemoveDirectory: C:\Windows\system32\drivers\avgmfx86.sys RemoveDirectory: C:\Windows\system32\drivers\avgntflt.sys RemoveDirectory: C:\Windows\system32\drivers\avgrkx64.sys RemoveDirectory: C:\Windows\system32\drivers\avgrkx86.sys RemoveDirectory: C:\Windows\system32\drivers\avgtdia.sys RemoveDirectory: C:\Windows\system32\drivers\avgtdix.sys RemoveDirectory: C:\Windows\system32\drivers\avgwfpa.sys RemoveDirectory: C:\Windows\system32\drivers\avgwfpx.sys RemoveDirectory: C:\Windows\system32\drivers\avipbb.sys RemoveDirectory: C:\Windows\system32\drivers\avkmgr.sys RemoveDirectory: C:\Windows\system32\drivers\avnetflt.sys RemoveDirectory: C:\Windows\system32\drivers\BAPIDRV.SYS RemoveDirectory: C:\Windows\system32\drivers\BAPIDRV64.SYS RemoveDirectory: C:\Windows\system32\drivers\bcfilter.sys RemoveDirectory: C:\Windows\system32\drivers\bcfsrm.sys RemoveDirectory: C:\Windows\system32\drivers\bcftdi.sys RemoveDirectory: C:\Windows\system32\drivers\bc_hash_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_ip_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_ngn.sys RemoveDirectory: C:\Windows\system32\drivers\bc_pat_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_prt_f.sys RemoveDirectory: C:\Windows\system32\drivers\bc_tdi_f.sys RemoveDirectory: C:\Windows\system32\drivers\BdAgent.sys RemoveDirectory: C:\Windows\system32\drivers\bdelam.sys RemoveDirectory: C:\Windows\system32\drivers\bdfndisf.sys RemoveDirectory: C:\Windows\system32\drivers\BdfNdisf6.sys RemoveDirectory: C:\Windows\system32\drivers\bdfsfltr.sys RemoveDirectory: C:\Windows\system32\drivers\BdNet.sys RemoveDirectory: C:\Windows\system32\drivers\bdsandbox.sys RemoveDirectory: C:\Windows\system32\drivers\bdsflt.sys RemoveDirectory: C:\Windows\system32\drivers\bdsnm.sys RemoveDirectory: C:\Windows\system32\drivers\BdSpy.sys RemoveDirectory: C:\Windows\system32\drivers\bdvedisk.sys RemoveDirectory: C:\Windows\system32\drivers\Bfilter.sys RemoveDirectory: C:\Windows\system32\drivers\Bfmon.sys RemoveDirectory: C:\Windows\system32\drivers\Bhbase.sys RemoveDirectory: C:\Windows\system32\drivers\Bprotect.sys RemoveDirectory: C:\Windows\system32\drivers\catflt.sys RemoveDirectory: C:\Windows\system32\drivers\CdmDrvNt.sys RemoveDirectory: C:\Windows\system32\drivers\cfwids.sys RemoveDirectory: C:\Windows\system32\drivers\cmderd.sys RemoveDirectory: C:\Windows\system32\drivers\cmdguard.sys RemoveDirectory: C:\Windows\system32\drivers\cmdhlp.sys RemoveDirectory: C:\Windows\system32\drivers\COMFiltr.sys RemoveDirectory: C:\Windows\system32\drivers\DrWebLwf.sys RemoveDirectory: C:\Windows\system32\drivers\dsaflt.sys RemoveDirectory: C:\Windows\system32\drivers\dsaflt64.sys RemoveDirectory: C:\Windows\system32\drivers\dwprot.sys RemoveDirectory: C:\Windows\system32\drivers\dw_wfp.sys RemoveDirectory: C:\Windows\system32\drivers\eamon.sys RemoveDirectory: C:\Windows\system32\drivers\eamonm.sys RemoveDirectory: C:\Windows\system32\drivers\econceal.sys RemoveDirectory: C:\Windows\system32\drivers\edevmon.sys RemoveDirectory: C:\Windows\system32\drivers\efimon.sys RemoveDirectory: C:\Windows\system32\drivers\ehdrv.sys RemoveDirectory: C:\Windows\system32\drivers\EMLTDI.SYS RemoveDirectory: C:\Windows\system32\drivers\epfw.sys RemoveDirectory: C:\Windows\system32\drivers\EpfwLWF.sys RemoveDirectory: C:\Windows\system32\drivers\epfwndis.sys RemoveDirectory: C:\Windows\system32\drivers\epfwtdi.sys RemoveDirectory: C:\Windows\system32\drivers\epfwwfp.sys RemoveDirectory: C:\Windows\system32\drivers\epfwwfpr.sys RemoveDirectory: C:\Windows\system32\drivers\fnetm64.sys RemoveDirectory: C:\Windows\system32\drivers\fnetmon.sys RemoveDirectory: C:\Windows\system32\drivers\FPAV_RTP.sys RemoveDirectory: C:\Windows\system32\drivers\fsbts.sys RemoveDirectory: C:\Windows\system32\drivers\fwcore.sys RemoveDirectory: C:\Windows\system32\drivers\GDBehave.sys RemoveDirectory: C:\Windows\system32\drivers\gddcd64.sys RemoveDirectory: C:\Windows\system32\drivers\gddcv64.sys RemoveDirectory: C:\Windows\system32\drivers\GDNdisIc.sys RemoveDirectory: C:\Windows\system32\drivers\GDTdiIcpt.sys RemoveDirectory: C:\Windows\system32\drivers\gdwfpcd32.sys RemoveDirectory: C:\Windows\system32\drivers\gdwfpcd64.sys RemoveDirectory: C:\Windows\system32\drivers\gfiark.sys RemoveDirectory: C:\Windows\system32\drivers\gfiutil.sys RemoveDirectory: C:\Windows\system32\drivers\ggc.sys RemoveDirectory: C:\Windows\system32\drivers\gzflt.sys RemoveDirectory: C:\Windows\system32\drivers\HipShieldK.sys RemoveDirectory: C:\Windows\system32\drivers\HookCentre.sys RemoveDirectory: C:\Windows\system32\drivers\HookHelp.sys RemoveDirectory: C:\Windows\system32\drivers\hookport.sys RemoveDirectory: C:\Windows\system32\drivers\Hooksys.sys RemoveDirectory: C:\Windows\system32\drivers\HookTdi.sys RemoveDirectory: C:\Windows\system32\drivers\hvm.sys RemoveDirectory: C:\Windows\system32\drivers\idsflt.sys RemoveDirectory: C:\Windows\system32\drivers\idsflt64.sys RemoveDirectory: C:\Windows\system32\drivers\inspect.sys RemoveDirectory: C:\Windows\system32\drivers\K7FWFilt.sys RemoveDirectory: C:\Windows\system32\drivers\K7FWHlpr.sys RemoveDirectory: C:\Windows\system32\drivers\K7Sentry.sys RemoveDirectory: C:\Windows\system32\drivers\K7TdiHlp.sys RemoveDirectory: C:\Windows\system32\drivers\kl1.sys RemoveDirectory: C:\Windows\system32\drivers\kl2.sys RemoveDirectory: C:\Windows\system32\drivers\klelam.sys RemoveDirectory: C:\Windows\system32\drivers\klflt.sys RemoveDirectory: C:\Windows\system32\drivers\klhk.sys RemoveDirectory: C:\Windows\system32\drivers\klif.sys RemoveDirectory: C:\Windows\system32\drivers\klim5.sys RemoveDirectory: C:\Windows\system32\drivers\klim6.sys RemoveDirectory: C:\Windows\system32\drivers\klpd.sys RemoveDirectory: C:\Windows\system32\drivers\kltdi.sys RemoveDirectory: C:\Windows\system32\drivers\klwfp.sys RemoveDirectory: C:\Windows\system32\drivers\KmxAgent.sys RemoveDirectory: C:\Windows\system32\drivers\KmxAMRT.sys RemoveDirectory: C:\Windows\system32\drivers\KmxCF.sys RemoveDirectory: C:\Windows\system32\drivers\KmxCfg.sys RemoveDirectory: C:\Windows\system32\drivers\KmxFile.sys RemoveDirectory: C:\Windows\system32\drivers\KmxFilter.sys RemoveDirectory: C:\Windows\system32\drivers\KmxFw.sys RemoveDirectory: C:\Windows\system32\drivers\KmxSbx.sys RemoveDirectory: C:\Windows\system32\drivers\KmxStart.sys RemoveDirectory: C:\Windows\system32\drivers\kneps.sys RemoveDirectory: C:\Windows\system32\drivers\kvnet.sys RemoveDirectory: C:\Windows\system32\drivers\kwflower.sys RemoveDirectory: C:\Windows\system32\drivers\kwfupper.sys RemoveDirectory: C:\Windows\system32\drivers\llio.sys RemoveDirectory: C:\Windows\system32\drivers\McPvDrv.sys RemoveDirectory: C:\Windows\system32\drivers\mfeapfk.sys RemoveDirectory: C:\Windows\system32\drivers\mfeavfk.sys RemoveDirectory: C:\Windows\system32\drivers\mfebopk.sys RemoveDirectory: C:\Windows\system32\drivers\mfeclnrk.sys RemoveDirectory: C:\Windows\system32\drivers\mfeelamk.sys RemoveDirectory: C:\Windows\system32\drivers\mfefirek.sys RemoveDirectory: C:\Windows\system32\drivers\mfehidk.sys RemoveDirectory: C:\Windows\system32\drivers\mfencbdc.sys RemoveDirectory: C:\Windows\system32\drivers\mfencrk.sys RemoveDirectory: C:\Windows\system32\drivers\mfewfpk.sys RemoveDirectory: C:\Windows\system32\drivers\MiniIcpt.sys RemoveDirectory: C:\Windows\system32\drivers\MOBK.sys RemoveDirectory: C:\Windows\system32\drivers\mscank.sys RemoveDirectory: C:\Windows\system32\drivers\mwfsmflt.sys RemoveDirectory: C:\Windows\system32\drivers\n64i1644.sys RemoveDirectory: C:\Windows\system32\drivers\netfilter.sys RemoveDirectory: C:\Windows\system32\drivers\NETFLTDI.SYS RemoveDirectory: C:\Windows\system32\drivers\neti1644.sys RemoveDirectory: C:\Windows\system32\drivers\NETTDI64.SYS RemoveDirectory: C:\Windows\system32\drivers\nnetsec.sys RemoveDirectory: C:\Windows\system32\drivers\nnetsecl.sys RemoveDirectory: C:\Windows\system32\drivers\nnetsecl64.sys RemoveDirectory: C:\Windows\system32\drivers\NNSAlpc.sys RemoveDirectory: C:\Windows\system32\drivers\NNSHttp.sys RemoveDirectory: C:\Windows\system32\drivers\NNSHttps.sys RemoveDirectory: C:\Windows\system32\drivers\NNSIds.sys RemoveDirectory: C:\Windows\system32\drivers\NNSNAHS.sys RemoveDirectory: C:\Windows\system32\drivers\NNSNAHSL.sys RemoveDirectory: C:\Windows\system32\drivers\NNSpicc.sys RemoveDirectory: C:\Windows\system32\drivers\NNSpihs.sys RemoveDirectory: C:\Windows\system32\drivers\NNSPihsw.sys RemoveDirectory: C:\Windows\system32\drivers\NNSPop3.sys RemoveDirectory: C:\Windows\system32\drivers\NNSProt.sys RemoveDirectory: C:\Windows\system32\drivers\NNSPrv.sys RemoveDirectory: C:\Windows\system32\drivers\NNSSmtp.sys RemoveDirectory: C:\Windows\system32\drivers\NNSStrm.sys RemoveDirectory: C:\Windows\system32\drivers\NNStlsc.sys RemoveDirectory: C:\Windows\system32\drivers\npf.sys RemoveDirectory: C:\Windows\system32\drivers\NSKernel.sys RemoveDirectory: C:\Windows\system32\drivers\NSNetmon.sys RemoveDirectory: C:\Windows\system32\drivers\nvcv64mf.sys RemoveDirectory: C:\Windows\system32\drivers\OADriver.sys RemoveDirectory: C:\Windows\system32\drivers\oahlp32.sys RemoveDirectory: C:\Windows\system32\drivers\OAmon.sys RemoveDirectory: C:\Windows\system32\drivers\OAnet.sys RemoveDirectory: C:\Windows\system32\drivers\pavboot.sys RemoveDirectory: C:\Windows\system32\drivers\pavboot64.sys RemoveDirectory: C:\Windows\system32\drivers\PavProc.sys RemoveDirectory: C:\Windows\system32\drivers\PCTBD64.sys RemoveDirectory: C:\Windows\system32\drivers\pctBTFix64.sys RemoveDirectory: C:\Windows\system32\drivers\PCTCore64.sys RemoveDirectory: C:\Windows\system32\drivers\pctDS64.sys RemoveDirectory: C:\Windows\system32\drivers\pctEFA64.sys RemoveDirectory: C:\Windows\system32\drivers\pctgntdi64.sys RemoveDirectory: C:\Windows\system32\drivers\pctplsg64.sys RemoveDirectory: C:\Windows\system32\drivers\pctplsm64.sys RemoveDirectory: C:\Windows\system32\drivers\PCTSD64.sys RemoveDirectory: C:\Windows\system32\drivers\pctwfpfilter64.sys RemoveDirectory: C:\Windows\system32\drivers\PktIcpt.sys RemoveDirectory: C:\Windows\system32\drivers\PROCEXP152.SYS RemoveDirectory: C:\Windows\system32\drivers\protreg.sys RemoveDirectory: C:\Windows\system32\drivers\PSINAflt.sys RemoveDirectory: C:\Windows\system32\drivers\PSINFile.sys RemoveDirectory: C:\Windows\system32\drivers\PSINKNC.sys RemoveDirectory: C:\Windows\system32\drivers\PSINProc.sys RemoveDirectory: C:\Windows\system32\drivers\PSINProt.sys RemoveDirectory: C:\Windows\system32\drivers\PSINReg.sys RemoveDirectory: C:\Windows\system32\drivers\PSKMAD.sys RemoveDirectory: C:\Windows\system32\drivers\qutmdrv.sys RemoveDirectory: C:\Windows\system32\drivers\qutmipc.sys RemoveDirectory: C:\Windows\system32\drivers\SandBox.sys RemoveDirectory: C:\Windows\system32\drivers\SandBox64.sys RemoveDirectory: C:\Windows\system32\drivers\savonaccess.sys RemoveDirectory: C:\Windows\system32\drivers\savonaccesscontrol.sys RemoveDirectory: C:\Windows\system32\drivers\savonaccessfilter.sys RemoveDirectory: C:\Windows\system32\drivers\sbaphd.sys RemoveDirectory: C:\Windows\system32\drivers\sbapifs.sys RemoveDirectory: C:\Windows\system32\drivers\SbFw.sys RemoveDirectory: C:\Windows\system32\drivers\SbFwIm.sys RemoveDirectory: C:\Windows\system32\drivers\sbhips.sys RemoveDirectory: C:\Windows\system32\drivers\sbtis.sys RemoveDirectory: C:\Windows\system32\drivers\sbwtis.sys RemoveDirectory: C:\Windows\system32\drivers\scfdriver.sys RemoveDirectory: C:\Windows\system32\drivers\scfndis.sys RemoveDirectory: C:\Windows\system32\drivers\ShldFlt.sys RemoveDirectory: C:\Windows\system32\drivers\ShlDrv51.sys RemoveDirectory: C:\Windows\system32\drivers\skmscan.sys RemoveDirectory: C:\Windows\system32\drivers\SophosBootDriver.sys RemoveDirectory: C:\Windows\system32\drivers\spiderg3.sys RemoveDirectory: C:\Windows\system32\drivers\ssmdrv.sys RemoveDirectory: C:\Windows\system32\drivers\SYMEVENT.SYS RemoveDirectory: C:\Windows\system32\drivers\SYMEVENT64x86.SYS RemoveDirectory: C:\Windows\system32\drivers\SysPlant.sys RemoveDirectory: C:\Windows\system32\drivers\tdifw.sys RemoveDirectory: C:\Windows\system32\drivers\tdi_nf.sys RemoveDirectory: C:\Windows\system32\drivers\Teefer.sys RemoveDirectory: C:\Windows\system32\drivers\tmactmon.sys RemoveDirectory: C:\Windows\system32\drivers\tmcomm.sys RemoveDirectory: C:\Windows\system32\drivers\TMEBC32.sys RemoveDirectory: C:\Windows\system32\drivers\TMEBC64.sys RemoveDirectory: C:\Windows\system32\drivers\tmeevw.sys RemoveDirectory: C:\Windows\system32\drivers\tmevtmgr.sys RemoveDirectory: C:\Windows\system32\drivers\tmnciesc.sys RemoveDirectory: C:\Windows\system32\drivers\tmusa.sys RemoveDirectory: C:\Windows\system32\drivers\tpdevflt.sys RemoveDirectory: C:\Windows\system32\drivers\tpsec.sys RemoveDirectory: C:\Windows\system32\drivers\Trufos.sys RemoveDirectory: C:\Windows\system32\drivers\TS4nt.sys RemoveDirectory: C:\Windows\system32\drivers\v3engine.sys RemoveDirectory: C:\Windows\system32\drivers\VBEngNT.sys RemoveDirectory: C:\Windows\system32\drivers\vsdatant.sys RemoveDirectory: C:\Windows\system32\drivers\webssx.sys RemoveDirectory: C:\Windows\system32\drivers\WGX64.SYS RemoveDirectory: C:\Windows\system32\drivers\wnmflt.sys RemoveDirectory: C:\Windows\system32\drivers\wnmflt64.sys RemoveDirectory: C:\Windows\system32\drivers\WRkrn.sys RemoveDirectory: C:\Windows\system32\drivers\wsnf.sys RemoveDirectory: C:\Windows\system32\drivers\wstif.sys Unlock: C:\Program Files\Microsoft Security Client Unlock: C:\Program Files\NortonInstaller Unlock: C:\Program Files\Trend Micro Installer Unlock: C:\Program Files\Windows Defender Unlock: C:\ProgramData\ESET Unlock: C:\ProgramData\NortonInstaller Unlock: C:\ProgramData\Trend Micro Installer Unlock: C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps Unlock: C:\Users\Sylwester Sobkowiak\AppData\Roaming\IObit Apps C:\Program Files\AlphaChessHistory.dat C:\Program Files\Common Files\Softwin C:\Program Files\Common Files\Symantec Shared C:\Program Files\GamingWonderlandEI C:\Program Files\GUM2809.tmp C:\Program Files\GUMC6A8.tmp C:\Program Files\GUTC6E8.tmp C:\Program Files\Kroll Ontrack C:\Program Files\Mozilla Firefox C:\Program Files\Nitro PDF C:\Program Files\NortonInstaller C:\Program Files\RealPopup C:\Program Files\Softwin C:\Program Files\Temp C:\Program Files\Tor C:\Program Files\Trend Micro Installer C:\ProgramData\HitmanPro C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Symantec C:\ProgramData\Trend Micro Installer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AlphaChess 3.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Uninstaller.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Update.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader.lnk C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps C:\Users\Sylwester Sobkowiak\AppData\Local\Mozilla C:\Users\Sylwester Sobkowiak\AppData\Local\nsg6B92.tmp C:\Users\Sylwester Sobkowiak\AppData\Local\nsy3E40.tmp C:\Users\Sylwester Sobkowiak\AppData\Local\Seven Zip C:\Users\Sylwester Sobkowiak\AppData\Local\WindowsUpdate C:\Users\Sylwester Sobkowiak\AppData\Roaming\CEZEO software C:\Users\Sylwester Sobkowiak\AppData\Roaming\cwbritga C:\Users\Sylwester Sobkowiak\AppData\Roaming\FLVPlayerPackages C:\Users\Sylwester Sobkowiak\AppData\Roaming\FunmoodsChat C:\Users\Sylwester Sobkowiak\AppData\Roaming\IObit Apps C:\Users\Sylwester Sobkowiak\AppData\Roaming\Mozilla C:\Users\Sylwester Sobkowiak\AppData\Roaming\NIWHJ C:\Users\Sylwester Sobkowiak\AppData\Roaming\o1o1aFVzWL0 C:\Users\Sylwester Sobkowiak\AppData\Roaming\PrimoPDF C:\Users\Sylwester Sobkowiak\AppData\Roaming\PrimoPDFSet.xml C:\Users\Sylwester Sobkowiak\AppData\Roaming\QuickMessenger C:\Users\Sylwester Sobkowiak\AppData\Roaming\TeamViewer C:\Users\Sylwester Sobkowiak\AppData\Roaming\WWXWQSSS C:\Users\Sylwester Sobkowiak\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player FLV Player.lnk C:\Users\Sylwester Sobkowiak\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player Uninstall FLV Player.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\system32\drivers\01E8782C.sys C:\Windows\system32\drivers\058074E8.sys C:\Windows\system32\drivers\0B584EBA.sys C:\Windows\system32\drivers\46145E6A.sys C:\Windows\system32\drivers\47957877.sys C:\Windows\system32\drivers\5C017815.sys C:\Windows\system32\drivers\5F9974D1.sys C:\Windows\system32\drivers\etc\hosts.old CMD: attrib -r -s -h "C:\Program Files\Microsoft Security Client" CMD: attrib -r -s -h "C:\Program Files\Windows Defender" CMD: del /q "C:\Program Files\Microsoft Security Client" CMD: del /q "C:\Program Files\Windows Defender" Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GamingWonderland Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RealPopup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Robot Boom Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg query HKCU\Software Reg: reg query HKLM\SOFTWARE Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender" /s CMD: dir /a "C:\Users\Iga\AppData\Local" CMD: dir /a "C:\Users\Iga\AppData\LocalLow" CMD: dir /a "C:\Users\Iga\AppData\Roaming" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Sprawdź czy jesteś w stanie odinstalować ESET Remote Administrator Console. Na razie nie próbuj instalować ESET.

Na podanej stronie Fix-it skorzystaj z alternatywnego linka opisanego jako "Zaawansowane — pobierz narzędzie do uruchomienia na innym lub niepołączonym komputerze".

Rozpocznij od podania obowiązkowych raportów: KLIK.

Na przyszłość: zawsze przed czyszczeniem AdwCleaner w pierwszej kolejności udaj się do opcji przeglądarki, gdyż jak mówiłam to najlepsza i najzdrowsza metoda. W tym przypadku chodziło o wyszukiwarki, czyli Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > ustawić Google jako domyślną i skasować wszystkie śmieci. Gdyby to zostało wykonane przed uruchomieniem AdwCleaner, nie wykryłby żadnych wpisów pobieranych z pliku "Web data". Oczywiście mówimy o usuwaniu podczas gdy synchronizacja jest wyłączona, co już tu zostało zaadresowane. Fix wykonany. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Ten nieszczęsny "Installer" niedostatecznie szybko usunięty z Harmonogramu zadań zrekonstruował adware. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-30] (globalUpdate) [File not signed] Task: {0FF5500F-BA45-4259-B506-931C745CFA39} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe [2014-12-30] (iWebar) Task: {18586F65-3161-44DF-A0BA-B9CE3B64CCF9} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe [2014-12-28] (Object Browser) Task: {1F80EB38-3BD8-44C0-AB3E-2D941BB3CDD9} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2.exe [2014-12-30] (iWebar) Task: {30A2CC9B-A358-4C4B-AEB6-2E36CA704BFD} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5_user => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe [2014-12-28] (Object Browser) Task: {603B4CA3-AD4C-47E6-A285-C02A72272A2F} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-11 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-11.exe [2014-12-28] (Object Browser) Task: {6B2D90A9-51D3-446C-B6B4-5704900C4AD0} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-2 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-2.exe [2014-12-28] (Object Browser) Task: {86F537CB-978E-45F1-B3AB-88118E205F3E} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-4 => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-4.exe [2014-12-28] (Object Browser) Task: {90D2C62D-3DC3-4F90-9165-09D93ADF5FD5} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5_user => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe [2014-12-30] (iWebar) Task: {9B7F706F-06AF-48F2-83C4-64158F772B75} - System32\Tasks\1873f338-c43d-4456-9380-c002be3d1175-1 => C:\Program Files (x86)\SensePlus\SensePlus-codedownloader.exe [2014-12-28] (Object Browser) Task: {9DB8BEC5-2368-44F4-933B-A27A37313952} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe [2014-12-30] (iWebar) Task: {C598F1CE-D210-49DC-9410-9B21EFD910B3} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {DE5C409A-4B5B-41AE-B30A-2947C4DB2DE7} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-30] (globalUpdate) Task: {EBD08F10-B078-448A-9E15-5782463B105D} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11.exe [2014-12-30] (iWebar) Task: {EBEB6CB1-B05F-4269-A817-12EB2504192A} - System32\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4 => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4.exe [2014-12-30] (iWebar) Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-1.job => C:\Program Files (x86)\SensePlus\SensePlus-codedownloader.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-11.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-11.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-2.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-2.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-4.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-4.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe Task: C:\Windows\Tasks\1873f338-c43d-4456-9380-c002be3d1175-5_user.job => C:\Program Files (x86)\SensePlus\1873f338-c43d-4456-9380-c002be3d1175-5.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-11.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-2.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-4.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe Task: C:\Windows\Tasks\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5_user.job => C:\Program Files (x86)\iWebar\cd6fd036-7dfe-4fca-b4e6-f237fe83dfb8-5.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll (iWebar) BHO: SensePlus -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\SensePlus\SensePlus-bho64.dll (Object Browser) BHO-x32: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll (iWebar) BHO-x32: SensePlus -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\SensePlus\SensePlus-bho.dll (Object Browser) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YouTube Accelerator C:\Users\Dominik\AppData\Local\globalUpdate C:\Users\Dominik\AppData\Roaming\*.exe C:\Windows\msdownld.tmp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware iWebar, SensePlus. 3. Czyszczenie przeglądarek: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Opera: CTRL+SHIFT+E i z listy rozszerzeń odinstaluj iWebar, SensePlus (o ile nadal będą widoczne po w/w deinstalacji). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Posty dla porządku połączyłam. Brakuje trzeciego pliku FRST Shortcut. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {cc30460f-753f-44d9-b58c-13dae1321968}w64; C:\Windows\System32\drivers\{cc30460f-753f-44d9-b58c-13dae1321968}w64.sys [61120 2014-05-22] (StdLib) R2 MaintainerSvc1.47.6049145; C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4\maintainer.exe [117248 2015-01-07] () [File not signed] S4 Update Jump Flip; C:\Program Files (x86)\Jump Flip\updateJumpFlip.exe [525600 2014-11-11] () S4 Util Jump Flip; C:\Program Files (x86)\Jump Flip\bin\utilJumpFlip.exe [525600 2014-11-11] () Task: {0A9C3B2C-6EDC-4465-83D1-18206625AF9F} - System32\Tasks\FoxTab => C:\Users\Łukasz\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {17E08DF3-1B52-44AA-B20B-4DB1D4D1F708} - System32\Tasks\Yahoo! Search Updater => C:\Users\Łukasz\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe [2014-10-28] (Pay By Ads LTD) Task: {3B220F81-058D-4FFD-BD33-1DDDD469B44E} - System32\Tasks\Object Browser-updater => C:\Program Files (x86)\Object Browser\Object Browser-updater.exe [2013-10-28] (Object Browser) Task: {69BC01A4-C0A1-4345-BF45-66C64FEFA8D8} - \Program aktualizacji online firmy Adobe. No Task File Task: {8C54882E-AEA3-4041-8898-B282B17F9AC3} - System32\Tasks\APSnotifierCA => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe [2014-01-03] (AnyProtect by CMI) Task: {AE137C06-C300-48A9-B925-5F807252EB3B} - System32\Tasks\Yahoo! Search => C:\Users\Łukasz\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [2014-10-28] (Pay By Ads LTD) Task: {C78F7BEA-3118-4028-ADF1-5D6D25A3297F} - System32\Tasks\Object Browser-codedownloader => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe [2013-10-28] (Object Browser) Task: {F434DB19-E3B3-4DB6-9F62-62E390E10F03} - System32\Tasks\Object Browser-chromeinstaller => C:\Program Files (x86)\Object Browser\Object Browser-chromeinstaller.exe [2013-10-28] (Object Browser) Task: C:\Windows\Tasks\APSnotifierCA.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\UKASZ~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Object Browser-chromeinstaller.job => C:\Program Files (x86)\Object Browser\Object Browser-chromeinstaller.exe Task: C:\Windows\Tasks\Object Browser-codedownloader.job => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe Task: C:\Windows\Tasks\Object Browser-updater.job => C:\Program Files (x86)\Object Browser\Object Browser-updater.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761024 2013-12-13] () HKU\S-1-5-21-1589615028-449597307-100043145-1000\...\Run: [NextLive] => C:\Windows\SysWOW64\rundll32.exe "C:\Users\Aukasz\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l HKU\S-1-5-21-1589615028-449597307-100043145-1000\...\Run: [Yahoo! Search] => C:\Users\Aukasz\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-1589615028-449597307-100043145-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSSE HKU\S-1-5-21-1589615028-449597307-100043145-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00032955&OHP=http%3A%2F%2Fwww.gogle.com%2F&OSP=http%3A%2F%2Fwww.bing.com%2Fsearch%3Fq%3D{searchTerms}%26src%3DIE-SearchBox%26FORM%3DIESR02 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382997416&from=cor&uid=WDCXWD5000BEVT-22ZAT0_WD-WXH1A30C6687C6687 SearchScopes: HKLM -> DefaultScope {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382997417&from=cor&uid=WDCXWD5000BEVT-22ZAT0_WD-WXH1A30C6687C6687&q={searchTerms} SearchScopes: HKLM -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382997417&from=cor&uid=WDCXWD5000BEVT-22ZAT0_WD-WXH1A30C6687C6687&q={searchTerms} SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO: Object Browser -> {11111111-1111-1111-1111-110311281150} -> C:\Program Files (x86)\Object Browser\Object Browser-bho64.dll (Object Browser) BHO-x32: Object Browser -> {11111111-1111-1111-1111-110311281150} -> C:\Program Files (x86)\Object Browser\Object Browser-bho.dll (Object Browser) BHO-x32: Jump Flip -> {6db9fdfe-b718-4962-be0c-0a5fce7f7f7b} -> C:\Program Files (x86)\Jump Flip\JumpFlipBHO.dll (Jump Flip) FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File C:\ProgramData\2ce8e63b-5e53-4efc-b4cf-6a6e52e017a4 C:\ProgramData\TEMP C:\Users\Łukasz\daemonprocess.txt C:\Users\Łukasz\AppData\Local\CRE C:\Users\Łukasz\AppData\Local\Google C:\Users\Łukasz\AppData\Roaming\newnext.me C:\Windows\System32\drivers\{cc30460f-753f-44d9-b58c-13dae1321968}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: type C:\Windows\System32\Tasks\{4E61A813-426C-4D00-B47F-8C3B95E477DB} CMD: type C:\Windows\System32\Tasks\{55550104-1865-49B7-9C50-2C1E09F563AC} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: AnyProtect, AnyProtect Packages, Foxtab, Jump Flip, Microsoft Word Packages, Mobogenie, Object Browser, Softonic for Windows, Yahoo! Search. - Stare wersje: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 45. Najnowsze wersje zainstalujesz na końcu. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Na przyszłość: proszę podążaj za moimi instrukcjami 1:1 i nie podejmuj działań na własną rękę. Celowo miało być tylko Szukaj, a nie od razu Usuń! Wyniki miały być sprawdzone na okoliczność fałszywych alarmów. Skutki uboczne Twojej akcji - AdwCleaner wywalił poprawne foldery programu VideoPad Video Editor: ***** [ Pliki / Foldery ] ***** Folder Usunięto : C:\ProgramData\NCH Software Folder Usunięto : C:\Program Files\NCH Software Folder Usunięto : C:\Users\BHP\AppData\Roaming\NCH Software Poleciały też conajmniej dwa poprawne klucze (od powyższego oraz Skype Click to Call for Internet Explorer), a czy nie więcej nie mam czasu sprawdzać. Odzyskaj z kwarantanny usunięte foldery. Ale w związku z tym, że rejestr został naruszony (nie ma kopii zapasowej tego), oba programy do reinstalacji.

Zapomniałam napisać poprzednio, że zestaw logów jest niekompletny - brakuje trzeciego pliku FRST Shortcut. Jeśli chodzi o pobór danych Opery, FRST nie mógł otworzyć pliku Preferences Opery, ale widać że jedyne rozszerzenie tam zainstalowane to Adblock Plus, za to komenda otwierania Opery jest przejęta przez delta-homes.com. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1fceab11-b7eb-4010-811f-3f56268f9366}t; C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys [55816 2014-12-30] (StdLib) R1 {2b4f8230-394e-4951-9495-bafd44d837da}t; C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys [55816 2014-12-27] (StdLib) R1 {3211ae5b-d056-4176-9f6e-b51496f003f1}t; C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys [55816 2014-12-14] (StdLib) R1 {34cccceb-a541-48ac-a26b-92818f06439d}t; C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys [55816 2015-01-02] (StdLib) R1 {47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t; C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys [55816 2014-12-15] (StdLib) R1 {8aefbcaf-640f-4dca-9a92-ed05ee387238}t; C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys [55816 2014-12-21] (StdLib) R1 {97daceee-c4d3-4ae1-975b-b77d85ce2d13}t; C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys [55816 2014-12-23] (StdLib) R1 {993baf86-643c-42e9-95e5-094f337533f0}t; C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys [55816 2014-12-17] (StdLib) R1 {9eaa49e2-6918-49c4-9a04-be590dd80dc6}t; C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys [55816 2015-01-05] (StdLib) R2 Update DigiHelp; C:\Program Files\DigiHelp\updateDigiHelp.exe [529128 2015-01-07] () R2 Util DigiHelp; C:\Program Files\DigiHelp\bin\utilDigiHelp.exe [529128 2015-01-07] () R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [470704 2014-12-17] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {1FDE0B1D-38E5-4E14-BCF0-132E3A8EA860} - System32\Tasks\pricemetertask => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeter.exe Task: {A8BB7BB6-3E16-4072-92A5-93BE64064E8A} - System32\Tasks\pricemeterdownloader => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterd.exe [2014-05-06] (PriceMeter) Task: {C6928140-D30F-470B-8253-D540717E41AB} - System32\Tasks\pricemeterwatcher => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [2014-05-04] (PriceMeter) HKLM\...\Run: [fst_pl_127] => [X] HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [PriceMeterW] => C:\Users\Dorota\AppData\Local\PriceMeter\pricemeterw.exe [287232 2014-05-04] (PriceMeter) HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [AdobeBridge] => [X] AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\Program Files\SupTab\SearchProtect32.dll [91248 2014-05-08] (Skytech Co., Ltd.) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1402162438&from=tt4u&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={DE289BFE-EFC6-4173-8DB3-5012550C5C4C}&mid=b4acfa79299247d2bc4ed16b53160544-6d6a121b0d2c7c6e45c51db57f8bd774ff757963&lang=en&ds=px011&coid=avgtbdispx&cmpid=&pr=sa&d=2014-06-19 10:56:34&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} BHO: DigiHelp 1.0.0.6 -> {5bee7be9-df29-4c14-a18e-2bdd06205e29} -> C:\Program Files\DigiHelp\DigiHelpBHO.dll (DigiHelp) CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-06-07] CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1419844097&from=wpm12262&uid=ST3500320AS_9QM2XW84XXXX9QM2XW84 C:\Program Files\DigiHelp C:\Program Files\SupTab C:\ProgramData\WindowsProtectManger C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dorota\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Dorota\AppData\Roaming\eCyber C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}t.sys C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}t.sys C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}t.sys C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}t.sys C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}t.sys C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}t.sys C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}t.sys C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}t.sys C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}t.sys Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\Opera\Launcher.exe"" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: AVG SafeGuard toolbar, Price Metér (remove only), qone8 uninstaller, WinZipper. - Stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 13 Plugin, Adobe Flash Player 15 Pepper, Adobe Reader X (10.1.0) - Polish 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware DigiHelp, Quick start, Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Teraz zadanie wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CMD: sc config "Internet Manager. RunOuc" start= disabled C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Program Files\DriverToolkit C:\Program Files\Mirillis C:\Program Files\NuGet C:\Program Files\Opera C:\Program Files\predm C:\ProgramData\13dcb93d2c61d501 C:\ProgramData\AVG C:\ProgramData\log C:\ProgramData\McAfee C:\ProgramData\Mirillis C:\ProgramData\NuGet C:\ProgramData\Oracle C:\ProgramData\pricechOp C:\ProgramData\Sun C:\ProgramData\Trusted Publisher C:\ProgramData\WindowsMangerProtect C:\Users\BHP\AppData\Local\Apple Computer C:\Users\BHP\AppData\Local\AVG C:\Users\BHP\AppData\Local\bitComposer C:\Users\BHP\AppData\Local\Chromatic Browser C:\Users\BHP\AppData\Local\Comodo C:\Users\BHP\AppData\Local\Depression Quest C:\Users\BHP\AppData\Local\DriverToolkit C:\Users\BHP\AppData\Local\DVDVideoSoft_Ltd C:\Users\BHP\AppData\Local\GG C:\Users\BHP\AppData\Local\globalUpdate C:\Users\BHP\AppData\Local\Installer C:\Users\BHP\AppData\Local\Mirillis C:\Users\BHP\AppData\Local\OpenFM C:\Users\BHP\AppData\Local\Opera Software C:\Users\BHP\AppData\Local\PriceMeter C:\Users\BHP\AppData\Local\Torch C:\Users\BHP\AppData\Local\WorldofTanks C:\Users\BHP\AppData\LocalLow\Ge-Force C:\Users\BHP\AppData\LocalLow\Sun C:\Users\BHP\AppData\LocalLow\TheTorntv V10 C:\Users\BHP\AppData\Roaming\Apple Computer C:\Users\BHP\AppData\Roaming\AVG C:\Users\BHP\AppData\Roaming\CodeBlocks C:\Users\BHP\AppData\Roaming\dclogs C:\Users\BHP\AppData\Roaming\DVDVideoSoft C:\Users\BHP\AppData\Roaming\GG C:\Users\BHP\AppData\Roaming\Mirillis C:\Users\BHP\AppData\Roaming\NuGet C:\Users\BHP\AppData\Roaming\OpenCandy C:\Users\BHP\AppData\Roaming\Opera Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Tym razem bez restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Domyślną przeglądarką jest tu Opera: Internet Explorer Version 9 (Default browser: Opera) Niestety FRST i OTL nie skanują jej preferencji, więc mimo że widać już liczne adware w raportach, nie mam pełnego obrazu sytuacji (w Operze też mogą być obiekty adware). Muszę pobrać o niej dane ręcznie. Czyli na razie tylko informacje dostarcz, tzn. zamknij przeglądarkę, otwórz Notatnik i wklej w nim: Folder: C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dorota\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Hardware. Nie ma tu co szukać żadnych infekcji. W Dzienniku zdarzeń liczne rekordy typu: System errors: ============= Error: (01/02/2015 11:48:25 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:25 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:24 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:24 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:21 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 11:48:21 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume3. Error: (01/02/2015 02:35:33 AM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! Error: (01/02/2015 02:34:36 AM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! vs. zestaw dysków: ==================== Drives ================================ Drive b: (Dysk1) (Fixed) (Total:931.51 GB) (Free:242.64 GB) NTFS Drive c: () (Fixed) (Total:119.14 GB) (Free:38.73 GB) NTFS Drive d: (Dysk2) (Fixed) (Total:931.51 GB) (Free:527.14 GB) NTFS Drive f: (MUSIC) (Removable) (Total:29.44 GB) (Free:26.03 GB) FAT32 ==================== MBR & Partition Table ================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D624D408) Partition 1: (Not Active) - (Size=931.5 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (MBR Code: Windows 7 or 8) (Size: 119.2 GB) (Disk ID: BCA7F6DD) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=119.1 GB) - (Type=07 NTFS) ======================================================== Disk: 2 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: D624D40F) Partition 1: (Not Active) - (Size=931.5 GB) - (Type=07 NTFS) ======================================================== Disk: 3 (Size: 29.5 GB) (Disk ID: 62756C20) No partition Table on disk 3. Zdefiniowanie czym jest \Device\HarddiskVolume3: KLIK. Co dostarczyć: KLIK.

vs. Tu jeszcze nie koniec działań. Jesteśmy na samym początku: Tak, gdyż Fix w ogóle nic nie zrobił. Nie wiem co użyłeś do przeklejania do Notatnika, ale zniszczyłeś cały skrypt, wszystkie slesze wymazane i FRST nie przetworzył prawie niczego. Np. w moim skrypcie jest: R1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw; C:\Windows\System32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys [43152 2015-01-06] (StdLib) A u Ciebie: R1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw; CWindowsSystem32drivers{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys [43152 2015-01-06] (StdLib) Dodatkowo, obciąłeś kropki w ostatniej komendzie EmptyTemp: Powtarzasz punkty 2 i 4 z poprzedniej instrukcji.

Wszystko zrobione. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Brak jakichkolwiek oznak infekcji. Opisywany problem z użwaniem AdwCleaner wygląda na pochodną innych czynników. Skoro Tryb awaryjny umożliwia pracę programu, to wręcz nasuwa się iż antywirus (tu: AVG 2015) może blokować czynności czyściciela. Prawdopodobnie AVG widzi "malware" w AdwCleaner. Wg FRST nie ma czynnych obiektów adware w przeglądarce. Nie ma raportów AdwCleaner, więc trudno ocenić o co mu chodzi (w którym miejscu preferencji) i czy wyniki są na pewno rzeczywiste (prawda a nie fałszywy alarm). Zakładając, że są to prawdziwe zgłoszenia: jeśli problem wraca, to może masz włączoną synchronizację Google Chrome z serwerem? W takim przypadku preferencje są odtwarzane w kółko z serwera i czyszczenie lokalnego Google Chrome jest bez sensu, w pierwszej kolejności trzeba wyłączyć synchronizację (i nie włączać dopóki nie wyczyszczą danych z serwera), dopiero po tym czyszczenie lokalne jest zasadne. Przypominam także, że: - Czyszczenie AdwCleaner to metoda "na chama" i to się stosuje tylko gdy już nic nie da się zrobić wprost w opcjach przeglądarki. Czyszczenie Google Chrome wprost w ustawieniach to najlepsza i najbardziej poprawna metoda. Czyszczenie AdwCleaner robi sztuczne modyfikacje, niekiedy mogą skutkować uszkodzeniem preferencji. - AdwCleaner nie jest wolny od błędów i fałszywych alarmów. Nawet ostatnio zgłaszałam autorowi sporo poprawnych wpisów omyłkowo usuwanych. Dodatkowo, conajmniej raz AdwCleaner pokazał jakieś głupoty u mnie w czystej instalacji Google Chrome lub Opera (nie pamiętam dokładnie) tzn. wyszukiwarki adware, które nigdy nawet nie istniały. Nie wiem skąd takie wyniki były, ale był to problem tymczasowy (nie prowadziłam żadnego usuwania tylko ponownie uruchomiłam program i już zero wyników). PS. Do usunięcia tylko wpisy puste i odpadkowe oraz tempy, ale to nie ma żadnego związku z problemami i jest tylko kosmetyką. Do Notatnika wklej: CloseProcesses: S3 cleanhlp; \??\C:\Program Files\Emsisoft Anti-Malware\cleanhlp32.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File FF Plugin: @real.com/nppl3260;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll No File FF Plugin: @real.com/nprpplugin;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll No File CHR HKLM\...\Chrome\Extension: [fplhdcjmbpfkejbhngmlngaecbjmoimd] - C:\Program Files\AVAST Software\Avast\AdBlocker\Chrome\avast-adblocker-chrome.crx [Not Found] Task: {5AA88332-FE37-44D8-BB60-23A4ACE3AC7E} - System32\Tasks\{7474CC67-77BE-435B-BEB7-0DD74B92228A} => pcalua.exe -a C:\Users\Iwona\Downloads\HexagemV120.exe -d C:\Users\Iwona\Downloads HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" CMD: for /d %f in (C:\Users\Iwona\AppData\Local\{*}) do rd /s /q "%f" C:\ProgramData\K01Rffky.dat C:\ProgramData\TEMP C:\Users\Iwona\AppData\Local\{*} C:\Users\Iwona\AppData\Local\BIT4394.tmp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Temat jedzie do działu Windows. Nie wiem skąd tu podejrzenia infekcji. To usterka systemowa, utrata dostępu do poprzedniego katalogu konta może mieć różne przyczyny np. błędy dysku, błędy oprogramowania (dostęp może zablokować też ... program zabezpieczający). Running from C:\Windows\System32\config\systemprofile\Desktop Loaded Profiles: (Available profiles: Ewa & Gość) ========================= Accounts: ========================== Administrator (S-1-5-21-1139975738-3604310859-1138287078-500 - Administrator - Disabled) Ewa (S-1-5-21-1139975738-3604310859-1138287078-1000 - Administrator - Enabled) => C:\Users\TEMP Gość (S-1-5-21-1139975738-3604310859-1138287078-501 - Limited - Enabled) => C:\Users\Gość Application errors: ================== Error: (01/06/2015 10:19:21 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Ewa-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. Do wdrożenia operacje z Reprofiler rozpisane w tym temacie: Konto Ewa należy przekierować z C:\Users\TEMP na C:\Users\Ewa.

Tak. Program nie odinstalował się w poprawny sposób. Wymagane poprawki usuwające elementy startowe i folder: Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Google Desktop Search] => C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2009-06-24] (Google) AppInit_DLLs: c:\progra~1\google\google~1\goec62~1.dll => c:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll [119296 2009-06-24] (Google) S3 GoogleDesktopManager-092308-165331; C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2009-06-24] (Google) CMD: for %i in (c:\progra~1\google\google~1\*.dll) do regsvr32 /u /s %i C:\Program Files\Google\Google Desktop Search Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest już potrzebny.

Jest tu mnóstwo innych wpisów adware, nie tylko "Cyti Web", a także czynna infekcja "MSDCSC" (w GMER widać załadowany ukryty proces). Poza tym, adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja browsera. Próbując rozwiązać problem posługiwałeś się wątpliwym skanerem z czarnej listy - SpyHunter 4. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje i wątpliwy skaner: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Google Chrome, Java 7 Update 60, Java 8 Update 11, SpyHunter 4. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę obiektów Google dokończy skrypt poniżej. Najnowsze wersje Adobe i Java zainstalujemy dopiero na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw; C:\Windows\System32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys [43152 2015-01-06] (StdLib) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-06] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-06] (globalUpdate) [File not signed] R2 Update Cyti Web; C:\Program Files\Cyti Web\updateCytiWeb.exe [528624 2015-01-07] () R2 Util Cyti Web; C:\Program Files\Cyti Web\bin\utilCytiWeb.exe [528624 2015-01-07] () S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] HKLM\...\Run: [mbot_pl_4] => [X] HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [PriceMeterW] => "C:\Users\BHP\AppData\Local\PriceMeter\pricemeterw.exe" HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\BHP\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [MicroUpdate] => C:\Users\BHP\Documents\MSDCSC\msdcsc.exe AppInit_DLLs: c:\progra~1\pc_boo~1\assist~1.dll => c:\progra~1\pc_boo~1\assist~1.dll File Not Found Task: {0091B0BE-903D-4455-9D67-4B7A3C4D2219} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe Task: {136B982C-44C9-4672-BFDD-CE05A654C753} - System32\Tasks\{227C132E-77CB-487E-BF81-9BB23B5ACFCB} => pcalua.exe -a "C:\Program Files\Intelore\RAR Password Recovery\uninstall.exe" Task: {1C5B3CD9-00AD-428B-8D0B-B6296BE715ED} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-6 => C:\Program Files\TheTorntv V10\TheTorntv V10-novainstaller.exe Task: {2D85A5E9-D3D8-4275-9A18-572B2C8E6A43} - System32\Tasks\{D21D127C-9BD1-47E7-9FC5-508056F38262} => Firefox.exe http://ui.skype.com/ui/0/6.21.0.104/pl/abandoninstall?page=tsProgressBar Task: {4736C4B5-987B-4DE3-B86A-820D508A20C1} - System32\Tasks\pricemeterdownloader => C:\Users\BHP\AppData\Local\PriceMeter\pricemeterd.exe Task: {5D030EF7-71F1-4367-833D-ACF285878180} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {683FD69E-A773-4A54-AC2A-41F84366AECB} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-01-06] (globalUpdate) Task: {725EEF32-8EC5-455A-8E5F-87D69C8C5253} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-2 => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-2.exe Task: {73CCAE97-5709-493B-9197-A535C65724A0} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-01-06] (globalUpdate) Task: {8ADBA85E-E164-40A8-8125-7A548949CF06} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-7 => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-7.exe [2015-01-06] (iWebar) Task: {95622347-DF96-4425-A8D8-9B7AB9AD28F9} - System32\Tasks\{1E78F1B7-314D-4452-998F-CE6714AABF5A} => Firefox.exe http://ui.skype.com/ui/0/6.21.0.104/pl/abandoninstall?page=tsProgressBar Task: {B0601C9C-E2F9-4BD4-8D8E-D77908F66147} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-4 => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-4.exe Task: {C4CFBFA9-E00A-4A52-BAB1-51E715C222F5} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe Task: {C8294AAA-5542-49EF-A5A2-9AA1B51823B0} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-6 => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-6.exe [2015-01-06] (iWebar) Task: {C96F1AAB-0688-4F5A-A7B1-FBDE9C171FEE} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-1 => C:\Program Files\Ge-Force\Ge-Force-codedownloader.exe [2015-01-06] (iWebar) Task: {CC11880E-4ED9-4336-9E96-5EFA6AF343DE} - System32\Tasks\YTDownloader => C:\Program Files\YTDownloader\YTDownloader.exe Task: {CF9317F3-A54E-4955-9FCF-1B674431A4D1} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5 => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe [2015-01-06] (iWebar) Task: {DE682B09-9637-4614-8416-7AC04CE9783A} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5_user => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe [2015-01-06] (iWebar) Task: {E2FCC61F-4D9B-4963-9A65-A7F2B1E663A8} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-01-06] (Enigma Software Group USA, LLC.) Task: {FAD20220-055A-4EA1-A558-3170D827B77C} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-7 => C:\Program Files\TheTorntv V10\TheTorntv V10-nova.exe Task: {FB835441-D6CE-4EDC-9F89-90E56E12A365} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5 => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: {FB90C11D-3809-4B33-AF28-33BD13C95980} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-1 => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: {FBA1B2A2-0A80-4658-BE54-A7F2AC7EDB05} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5_user => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-1.job => C:\Program Files\Ge-Force\Ge-Force-codedownloader.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5_user.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-6.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-6.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-7.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-7.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-1.job => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-2.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-2.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-4.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-4.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5_user.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-6.job => C:\Program Files\TheTorntv V10\TheTorntv V10-novainstaller.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-7.job => C:\Program Files\TheTorntv V10\TheTorntv V10-nova.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} HKU\S-1-5-21-3408851026-3105934659-272300781-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 HKU\S-1-5-21-3408851026-3105934659-272300781-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1406195089&from=ild&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} SearchScopes: HKU\S-1-5-21-3408851026-3105934659-272300781-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} BHO: TheTorntv V10 -> {11111111-1111-1111-1111-110611111177} -> C:\Program Files\TheTorntv V10\TheTorntv V10-bho.dll No File BHO: Ge-Force -> {11111111-1111-1111-1111-110611971195} -> C:\Program Files\Ge-Force\Ge-Force-bho.dll (iWebar) BHO: Cyti Web 1.0.0.6 -> {aa2fac44-d24d-4fed-9e32-397d138365f1} -> C:\Program Files\Cyti Web\CytiWebBHO.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\omiga-plus.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2014-07-14] FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\BHP\AppData\Roaming\Mozilla\Firefox\Profiles\1jnq2kwm.default\extensions\faststartff@gmail.com FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File CustomCLSID: HKU\S-1-5-21-3408851026-3105934659-272300781-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\BHP\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-3408851026-3105934659-272300781-1001_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\BHP\AppData\Local\Temp\s13c.exe (World Elephantine) C:\MSDCSC C:\Program Files\Cyti Web C:\Program Files\globalUpdate C:\Program Files\Ge-Force C:\Program Files\Google C:\Program Files\pricechOp C:\Program Files\SupTab C:\Program Files\TheTorntv V10 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon\Combat Arms EU.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\IePluginServices C:\ProgramData\McAfee Security Scan C:\Users\BHP\AppData\Local\CrashRpt C:\Users\BHP\AppData\Local\Google C:\Users\BHP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\CodeBlocks.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CodeBlocks C:\Users\BHP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portable Programs\More Portable Programs.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\BHP\AppData\Roaming\DIQRSUU C:\Users\BHP\AppData\Roaming\WY C:\Users\BHP\Desktop\Gry\League of Legends.lnk C:\Users\BHP\Desktop\Pulpit\City Bus Simulator.lnk C:\Users\BHP\Desktop\Pulpit\Sebastian\Combat Arms EU.lnk C:\Users\BHP\Desktop\Pulpit\Sebastian\McAfee Security Scan Plus.lnk C:\Users\BHP\Documents\MSDCSC C:\Users\BHP\Downloads\*(*)-dp*.exe C:\Users\BHP\Downloads\SpyHunter-Installer*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\msdownld.tmp C:\Windows\System32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{32148148} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\BHP\AppData\Local CMD: dir /a C:\Users\BHP\AppData\LocalLow CMD: dir /a C:\Users\BHP\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie Greasemonkey trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie jest sporo instalacji adware. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}w64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys [48776 2014-11-13] (StdLib) R1 {98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64; C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64.sys [48776 2014-11-10] (StdLib) R1 {98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64; C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys [48776 2014-11-11] (StdLib) R1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64; C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys [48776 2014-11-16] (StdLib) R2 70e6ca8c; c:\Program Files (x86)\Optimizer Pro\OptProCrash.dll [3111880 2014-11-10] () R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-12-31] () S2 McAfee SiteAdvisor Service; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [X] HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [146888 2014-11-04] (PC Utilities Software Limited) HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\...\Run: [LiveSupport] => C:\Program Files (x86)\LiveSupport\LiveSupport.exe [1005056 2014-03-18] (PC Utilities Software Limited) HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\...\Run: [AppsHat] => C:\Users\Alicja\AppData\Local\WebPlayer\AppsHat\WebPlayer.exe [202752 2012-10-26] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found Task: {0AD9B6CE-CA74-4AAA-8E88-BFA68F837D4B} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe [2014-11-10] (Lid) Task: {2005EB40-6176-47A3-B33F-8E4ED3C0DFF5} - System32\Tasks\EPUpdater => C:\Users\Alicja\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] () Task: {21E778B8-0B4C-4B70-B100-8F6342A8E7AF} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-1 => C:\Program Files (x86)\App Lid\App Lid-codedownloader.exe [2014-11-10] (Lid) Task: {3161B302-59A5-416B-A961-AC9F3E298F3A} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6.exe Task: {45889809-98A4-491C-8EE3-2F9FCE7619B3} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2.exe [2014-11-10] (Lid) Task: {46C8B80F-87F3-4AB0-938E-8231EA680717} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11.exe [2014-11-10] (Lid) Task: {4EC5A881-5069-41AA-9DA9-E1A746E2CC0C} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7.exe [2014-11-10] (Lid) Task: {55E0D972-3C14-48C3-A59D-0CB89562CC9E} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5_user => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe [2014-11-10] (Lid) Task: {8544F44C-9390-4863-98FE-02601E867F5A} - System32\Tasks\5a3baa7d-4f12-48f9-9ffc-c694880ae479 => C:\Program Files (x86)\App Lid\5a3baa7d-4f12-48f9-9ffc-c694880ae479.exe Task: {BBC84B7A-069C-49EF-A1D9-7AE5E64C2472} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4.exe [2014-11-10] (Lid) Task: {DC077C5C-2A88-4714-8E65-18C85300D730} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [2014-11-04] (PC Utilities Software Limited) Task: {DFAF8E2C-E583-4AAE-B3DB-1C6A4BA0C952} - System32\Tasks\8efda629-3ad5-4743-b000-193b5697f1d7 => C:\Program Files (x86)\App Lid\8efda629-3ad5-4743-b000-193b5697f1d7.exe Task: {EDEF2A7B-D278-4D74-8719-5B54B822A217} - System32\Tasks\FoxTab => C:\Users\Alicja\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {F2821868-356B-44CF-916F-350E1A911276} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: C:\Windows\Tasks\5a3baa7d-4f12-48f9-9ffc-c694880ae479.job => C:\Program Files (x86)\App Lid\5a3baa7d-4f12-48f9-9ffc-c694880ae479.exe Task: C:\Windows\Tasks\8efda629-3ad5-4743-b000-193b5697f1d7.job => C:\Program Files (x86)\App Lid\8efda629-3ad5-4743-b000-193b5697f1d7.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-1.job => C:\Program Files (x86)\App Lid\App Lid-codedownloader.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5_user.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Alicja\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/p/?LinkId=255141 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/p/?LinkId=255141 HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.gazeta.pl/0,0.html?p156 HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=C82C90004EBFF1DF&affID=125032&tsp=5027 HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C82C90004EBFF1DF&affID=125032&tsp=5027 SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO: No Name -> {11111111-1111-1111-1111-110611571143} -> No File BHO: No Name -> {2ce74c72-e61e-4079-8381-49fd8c639620} -> No File BHO: TiiciTaCoouupon -> {6255d6a8-06f5-4647-99ca-37c182a7b0c0} -> C:\ProgramData\TiiciTaCoouupon\iavTlt4rSIyVZF.x64.dll () BHO: TicToACouupon -> {d9bfad73-03e6-4972-8019-35d692b1a671} -> C:\ProgramData\TicToACouupon\S7u1n0o1I1P6LP.x64.dll () BHO-x32: No Name -> {11111111-1111-1111-1111-110611571143} -> No File BHO-x32: No Name -> {2ce74c72-e61e-4079-8381-49fd8c639620} -> No File BHO-x32: searchgol Helper Object -> {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} -> C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD) BHO-x32: No Name -> {980b8a8f-ea0b-4c24-a2e9-70635e2502e9} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {00078E95-3A4A-4137-8DE7-2824908D1C17} - No File CustomCLSID: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Alicja\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Alicja\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Alicja\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\5cb00965956dab33 C:\ProgramData\6678848579293784883 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Program Files (x86)\App Lid C:\Program Files (x86)\Mozilla Firefox C:\Users\Alicja\AppData\Local\foxtab_speeddial.crx C:\Users\Alicja\AppData\Local\WebPlayer C:\Users\Alicja\AppData\Roaming\BabSolution C:\Users\Alicja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat C:\Users\Alicja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Alicja\Downloads\setup*.exe C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64.sys C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys CMD: for /d %f in (C:\Users\Alicja\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: AppsHat Mobile Apps, BitGuard, dealpeak, Foxtab, LiveSupport, LucKySHHoppper, Optimizer Pro v3.2, SalesChuecker, SaveItCoupons, saver box, Search-Gol Chrome Toolbar, TiiciTaCoouupon. Instalacja BitGuard jest uszkodzona, ale system powinien dać możliwość usunięcia wpisu z listy zainstalowanych. - Stare wersje: Adobe AIR, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X MUI, Bing Bar, Google Chrome, Java™ 6 Update 22 (64-bit), Java™ 6 Update 22. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 3. W tle działa instalacja McAfee Site Advisor, która wygląda jak niepoprawnie odinstalowana (brak wejścia deinstalacyjnego). Zastosuj usuwacz McAfee Consumer Product Removal Tool. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt,

Poprawki, punkty 2+3 przy wyłączonym COMODO: 1. Nadal widzę zbędnik GeekBuddy od COMODO. Czy program był deinstalowany? 2. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 3.6.8" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 18.0" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 33.0.1" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {FD2235AE-D34F-4CD2-B393-D763A569ACA3} /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\user\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

SpyHunter to program wątpliwej reputacji, z czarnej listy. Stosuje taktykę "nacisku" (reklamowanie się jako usuwacz konkretnych infekcji), byle go zainstalować, a po instalacji wychodzi na jaw, że jest to program za który należy zapłacić, by mógł cokolwiek usunąć. Z daleka od tego "produktu". Wracając do problemu zasadniczego, działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [48784 2014-12-21] (StdLib) R1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [48784 2014-12-30] (StdLib) R1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64; C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys [48776 2014-12-03] (StdLib) R1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64; C:\Windows\System32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys [48784 2014-12-15] (StdLib) R1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64; C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys [48784 2015-01-04] (StdLib) R1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64; C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys [48784 2015-01-06] (StdLib) R1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [48784 2014-12-28] (StdLib) R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-12-01] (StdLib) R1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [48784 2014-12-18] (StdLib) R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [529136 2015-01-07] () R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [529136 2015-01-07] () Task: {184B4C47-FF24-4F7C-8F92-F91488BD1FF4} - System32\Tasks\Yahoo! Search => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe [2015-01-07] (Pay By Ads LTD) Task: {4351D2E2-B783-40CB-962D-877C23883FB8} - System32\Tasks\Yahoo! Search Updater => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrsetup.exe [2015-01-07] (Pay By Ads LTD) HKU\S-1-5-21-33010299-566735224-18553354-1003\...\Run: [Yahoo! Search] => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe [634576 2015-01-07] (Pay By Ads LTD) HKLM\...\Run: [MfeEpePcMonitor] => "C:\Program Files\Hewlett-Packard\Drive Encryption\EpePcMonitor.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-33010299-566735224-18553354-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-33010299-566735224-18553354-1003 -> {DFE9D180-5155-46AA-B372-7D4A5B4C27EF} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=438 BHO-x32: Hold Page 1.0.0.6 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPageBHO.dll (Hold Page) C:\Program Files\Enigma Software Group C:\Program Files\mks_vir_9 C:\Program Files (x86)\Mozilla Firefox C:\Users\user\AppData\Local\CrashRpt C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\user\AppData\Roaming\LavasoftStatistics C:\windows\BEAD140D65134B00AE0FD4A7222F0BF9.TMP C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys C:\Windows\System32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Hold Page, Yahoo! Search - Stare wersje: Adobe Flash Player 11 ActiveX, Java 7 Update 40, Java™ 6 Update 25 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Hold Page (o ile nadal będzie widoczne po w/w deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są dwa konta: ========================= Accounts: ========================== user (S-1-5-21-33010299-566735224-18553354-1003 - Administrator - Enabled) => C:\Users\user USER_ (S-1-5-21-33010299-566735224-18553354-1002 - Administrator - Enabled) => C:\Users\USER_ Zostały dostarczone logi z konta "user", jednak każde konto musi być sprawdzone z osobna. Jeśli konto "USER_" jest używane, to zaloguj się po kolei na każde poprzez pełny restart systemu (a nie "Wyloguj" czy "Przełącz użytkownika") i na każdym zrób po dwa raporty FRST (główny + Addition). Jeśli konto "USER_" nie jest jednak używane, to je całkowicie usuń i dostarcz tylko logi z "user". Dołącz też plik fixlog.txt.

W podanych tu raportach widać jedynie szkodnika w Firefox - fałszywe rozszerzenie Premium Codec. Przeprowadź następujące operacje: 1. Odinstaluj: Adobe Flash Player 15 Plugin (stara wersja), Bing Bar (zbędnik), Spybot - Search & Destroy (zbędny i przestarzały). Najnowszą wersję Adobe Flash Player zamontujesz na końcu. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie używane rozszerzenia zostaną usunięte. Potem uzupełnisz wybrane (i jeden konkretny Adblock, w chwili obecnej aż 5 różnych rozszerzeń). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-956293541-1469024210-4250759026-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-956293541-1469024210-4250759026-1002\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyPlayCity.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu! C:\ProgramData\Temp C:\Users\LaylaRose\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crimsonland.lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SOLDIERS.lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocksmith 2014\Rocksmith 2014 (Without Real Tone Cable).lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Search.lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Windows\Start Menu\MyPlayCity Games.lnk C:\Users\LaylaRose\Desktop\Skróty\Crimsonland.lnk C:\Users\LaylaRose\Desktop\Skróty\Rocksmith 2014 (Without Real Tone Cable).lnk Hosts: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\syswow64\nvinit.dll" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Mobile Partner" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /v Default_Search_URL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{324609A7-6EBD-4C9D-A4F2-D9CDBB6721C8}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oeraz logi z katalogu C:\AdwCleaner (by było wiadome co robiono przez założeniem tematu).

Na temat używania ComboFix: KLIK. Jego log już zostaw, by było wiadome co robił. Proszę przeczytaj zasady działu: KLIK. Uzupełnij: opis problemu (w jakim celu logi) + wymagany zestaw obowiązkowych raportów (mają być dołączone jako pliki w załącznikach a nie wklejane w poście).

Komunikat Avast jest związany z tym, że w międzyczasie nastąpiły nowe niekorzystne zmiany i w Firefox zostało zainstalowane adware (DOwnSave + CoupExtension). Czy na pewno odinstalowałeś stary porzucony Google Desktop? Widzę stanowczo zbyt dużo jego elementów w nowym raporcie. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\GUM38FA.tmp CMD: del /q "C:\Program Files\GUT3949.tmp" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.