picasso
-
Postów
36 516 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez picasso
-
BuyuNssaeve 3.64 + może coś jeszcze
picasso odpowiedział(a) na Gallardo temat w Dział pomocy doraźnej
Operacje pomyślnie przeprowadzone. Jeszcze drobne poprawki przed zadaniem czynności końcowych. Do Notatnika wklej: HKU\S-1-5-21-29074177-2114273088-3454551869-225919\...\Run: [Akamai NetSession Interface] => "C:\Users\dkoloszc\AppData\Local\Akamai\netsession_win.exe" DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A95B20D-AC62-429B-80C4-8F7230A453FE}" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dkoloszc\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. -
BSOD + czarny pulpit w trybie awaryjnym
picasso odpowiedział(a) na yarekya temat w Dział pomocy doraźnej
FRST się zatrzymał, gdyż na śmierć zapomniałam, że tworzenie punktu Przywracania systemu jest niemożliwe z poziomu Trybu awaryjnego. Działania poprawkowe: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Otsics] => C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\tmpD2.exe HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Ektion] => regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion\kbdcomex54.dll" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [YjPack] => C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\AcroIEHelperShim.DLL" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [ChromeUpdate] => C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate\ChromeUpdate.exe Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) BootExecute: autocheck autochk /k:C * S2 NOD32FiXTemDono; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg S2 SecurityCenterServer4196545509; "C:\WINDOWS\system32\deurge.exe" -service "C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro\googy.exe" S2 ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [X] U3 awdw3w0e; No ImagePath S0 Chl27; No ImagePath S3 ddxgb; \??\C:\DOCUME~1\Jarek\USTAWI~1\Temp\ddxgb.sys [X] S0 Hmq51; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 Video3D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79687185.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmq51.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79687185.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hmq51.sys => ""="Driver" Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKU\S-1-5-21-1417001333-746137067-839522115-1004 - (No Name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No File Toolbar: HKU\.DEFAULT -> No Name - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No File Toolbar: HKLM - @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6835F21B-AD12-485C-A8FD-D7DF60C72A69}\InprocServer32 -> wbocx32.ocx No File CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6AC91CBD-DB47-406A-AF60-90F8150FA5B8}\InprocServer32 -> wbocx32.ocx No File FF Plugin: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No File FF Plugin: @videolan.org/vlc,version=0.8.6h -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\Mozilla Thunderbird C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure C:\Documents and Settings\All Users\Dane aplikacji\PPLive C:\Documents and Settings\All Users\Dane aplikacji\SecuriSoft SARL C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\Jarek\Dane aplikacji\*.exe C:\Documents and Settings\Jarek\Dane aplikacji\.BitTornado C:\Documents and Settings\Jarek\Dane aplikacji\addpcs C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro C:\Documents and Settings\Jarek\Dane aplikacji\atube C:\Documents and Settings\Jarek\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Jarek\Dane aplikacji\DMCache C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate C:\Documents and Settings\Jarek\Dane aplikacji\iliveto C:\Documents and Settings\Jarek\Dane aplikacji\Moyea C:\Documents and Settings\Jarek\Dane aplikacji\Opera Software C:\Documents and Settings\Jarek\Dane aplikacji\PPLive C:\Documents and Settings\Jarek\Dane aplikacji\Publish Providers C:\Documents and Settings\Jarek\Dane aplikacji\Warez C:\Documents and Settings\Jarek\Dane aplikacji\WebCompiler3 C:\Documents and Settings\Jarek\Dane aplikacji\Xi C:\Documents and Settings\Jarek\Dane aplikacji\Ylgyas C:\Documents and Settings\Jarek\Dane aplikacji\Yzwexupa C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\DAEMON Tools Pro.lnk C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\YASU.exe.lnk C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\~wmrg C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics C:\Program Files\Java C:\Program Files\Common Files\Java C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\deurge.exe C:\WINDOWS\system32\klogon.dll Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultName /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultURL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: dir /a "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a C:\WINDOWS\$NtUninstallKB34492$ EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. Zamiennie sprawdź czy ponownie uruchomiony TDSSKiller widzi coś. -
Wyskakujące okienka Avasta i rozszerzenia Chrome
picasso odpowiedział(a) na Kamel07 temat w Dział pomocy doraźnej
Deinstalacja emulatorów ma znaczenie dla wyglądu skanu GMER, odczyt pozostałych narzędzi nie jest fałszowany. DAEMON Tools Lite ma własny sterownik usuwany wraz z deinstalacją, stąd też SPTDInst nie wykrył nic. Z raportu FRST: R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [232512 2011-10-29] (DT Soft Ltd) Są ogólnie aktywne instalacje adware. Przeglądarka Google Chrome jest też zainfekowana indywidualnie adware DoigiCCoupoon i Happy2Save, a co więcej została przetransformowana z wersji stabilnej do developerskiej. Konieczna kompleksowa reinstalacja. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: Click Caption 1.10.0.4, Ciuvo, DealPly, FoxTab FLV Player, GadgetBox Expansion. - Stare wersje i poszkodowaną przeglądarkę: Adobe Flash Player 15 ActiveX, Gadu-Gadu 10, Google Chrome, Google Desktop, Java 6 Update 4, OpenOffice.org 3.4.1. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com URLSearchHook: HKU\S-1-5-21-1143488406-1009695696-969558362-1000 - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKU\S-1-5-21-1143488406-1009695696-969558362-1000\...\SeaMonkey\Extensions: [mozilla_cc@internetdownloadmanager.com] - C:\Users\Boss\AppData\Roaming\IDM\idmmzcc5 Task: {672B2C66-A9CC-4FC4-B739-2A450415F342} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-12-26] (Google Inc.) Task: {B92E3399-CF9D-40E4-8556-1414A45F39CD} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-12-26] (Google Inc.) HKU\S-1-5-21-1143488406-1009695696-969558362-1000\...\Run: [vmreg] => C:\Users\Boss\AppData\Roaming\vmreg.exe HKU\S-1-5-21-1143488406-1009695696-969558362-1000\...\RunOnce: [Adobe Speed Launcher] => 1419758942 BootExecute: autocheck autochk /p \??\E:autocheck autochk * C:\ProgramData\cmjhlmenjbmblfpekalbojkahmacgejo C:\ProgramData\iooaaifkhejokedmcodjllohnlomfnlf C:\ProgramData\InstallMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer GameZone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Users\Boss\AppData\Local\Google\Chrome C:\Users\Boss\AppData\Roaming\appdataFr2.bin C:\Users\Boss\AppData\Roaming\ProgSense C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager C:\Users\Boss\Documents\YTD Video Downloader.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Wolne działanie systemu, niechciane reklamy, etc.
picasso odpowiedział(a) na Jolanata1212 temat w Dział pomocy doraźnej
vs. W skrypcie FRST to dopiero były o niej wyciągane dane. Opera jest zainfekowana adware: Kolejne działania: 1. Otwórz Notatnik i wklej w nim: C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. W Operze CTRL+SHIFT+E i odinstaluj adware GoHD na liście rozszerzeń. Wyczyść też cache i historię przeglądarki. Wypowiedz się czy problem z głowy. -
Wolne działanie systemu oraz wyskakujące reklamy w przeglądarce internetowej
picasso odpowiedział(a) na Corsodyl temat w Dział pomocy doraźnej
Poprzednie zadania wykonane. Zostały poprawki (podane poniżej). Natomiast tu jest dodatkowy problem ze strukturą plików na dysku (być może i z dyskiem jako takim), zobrazowany jako powielenia katalogów / tworzenie ich kopii. Na razie dokończ sprzątanie: NA KONCIE STANISŁAW: 1. Kolejne deinstalacje: - Przez Dodaj/Usuń programy: Spelling Dictionaries Support For Adobe Reader 9 (jakoś go pominęłam). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej 2. Otwórz Notatnik i wklej w nim: DisableService: sptd S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] HKLM\...\Run: [rec_pl_1] => [X] HKLM\...\Run: [rec_pl_2] => [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab Task: C:\WINDOWS.1\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS.1\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Adobe C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\OpenOffice.org 3.0 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Mozilla C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\GRAŻKA\Dane aplikacji\Mozilla C:\Documents and Settings\GRAŻKA\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Adobe C:\Program Files\ClickCaption_1.10.0.4 C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Java C:\Program Files\gmsd_pl_8 C:\Program Files\Java C:\Program Files\Mozilla Firefox C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Program Files\predm C:\WINDOWS.1\system32\Adobe C:\WINDOWS.1\system32\Macromed Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. NA KONCIE GRAŻKA: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2052111302-920026266-1177238915-1012\...\Run: [H/PC Connection Agent] => "C:\Microsoft ActiveSync\wcescomm.exe" HKU\S-1-5-21-2052111302-920026266-1177238915-1012\...\Run: [iSUSPM] => -scheduler ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> No Name - {64D23501-5195-4224-9446-E2B0FB64E859} - No File Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. -
Wyskakują reklamy, system wolniej działa
picasso odpowiedział(a) na Peyton88 temat w Dział pomocy doraźnej
Są tu dwa problemy: - Adware produkujące reklamy. Adware może okazać się rzeczą podrządną: - Uszkodzony układ Usług kryptograficznych. Wszystkie usługi / sterowniki Microsoftu mają odczyt [File not signed] (brak podpisu cyfrowego). Oznacza to uszkodzenie jednej z baz: catroot lub catroot2. Druga usterka ma priorytet, usuwanie adware nie ma sensu gdy jest uszkodzony Windows, jest nie wiadome czy da się to naprawić bez reinstalacji systemu (zależy gdzie jest usterka). Wstępnie: 1. Upewnij się, że nie masz zainstalowanej wadliwej łaty KB3004394. Zastosuj po prostu "instalator" KB3024777, który ma ją usuwać: KLIK. 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Zresetuj komputer. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). -
Mój skrypt usuwał wszystko na raz: wpis produkujący błąd, wszystkie przekierowania adware oraz inne rzeczy. Przeprowadzone działania zastępcze nie zrobiły wszystkiego co zaplanowałam. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 ElRawDisk; \??\C:\Windows\system32\drivers\rsdrvx64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {8AD4C0C5-A4BB-44E4-85D1-3737047DC28D} - System32\Tasks\{ACA4A858-16A6-47DB-8CDA-86B66BD22196} => pcalua.exe -a F:\SETUP.EXE -d F:\ HKLM-x32\...\Run: [DXM6Patch_981116] => C:\Windows\p_981116.exe /Q:A HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Justyna\AppData\Roaming\Mozilla\Firefox\Profiles\ul984mml.default\extensions\detgdp@gmail.com C:\ProgramData\Temp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.
-
Wolne działanie systemu, niechciane reklamy, etc.
picasso odpowiedział(a) na Jolanata1212 temat w Dział pomocy doraźnej
W systemie nadal są obiekty adware, w tym czynny proces o negatywnym działaniu. Ponadto, Google Chrome do reinstalacji od zera, gdyż adware zmieniło typ przeglądarki ze stabilnej do development i wstawiło śmieci. Logi nie prezentują niestety preferencji Opery (tu domyślna przeglądarka), ale pobiorę o niej dane ręcznie. Wdróż następujące działania: 1. Odinstaluj Adobe Flash Player 15 Plugin, Adobe Shockwave Player 11.6, Google Chrome. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: R2 MaintainerSvc6.37.565328; C:\ProgramData\7bb6df21-8ca8-4eec-965d-8cd2261544c7\maintainer.exe [123632 2015-01-06] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X] S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X] S3 BTATH_BUS; \SystemRoot\System32\drivers\btath_bus.sys [X] S3 BTATH_HCRP; \SystemRoot\System32\drivers\btath_hcrp.sys [X] S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X] HKLM-x32\...\Run: [fst_pl_142] => [X] HKLM-x32\...\Run: [AnyProtect Tray] => "C:\Program Files (x86)\AnyProtectEx\AnyProtectTrayIcon.exe" HKLM-x32\...\Run: [t4pc_en_7] => [X] HKLM-x32\...\Run: [FromDocToPDF EPM Support] => "C:\PROGRA~2\FROMDO~1\bar\1.bin\65medint.exe" T8EPMSUP.DLL,S HKLM-x32\...\Run: [FromDocToPDF AppIntegrator 32-bit] => C:\PROGRA~2\FROMDO~1\bar\1.bin\AppIntegrator.exe HKLM-x32\...\Run: [FromDocToPDF AppIntegrator 64-bit] => C:\PROGRA~2\FROMDO~1\bar\1.bin\AppIntegrator64.exe HKLM-x32\...\Run: [gmsd_pl_15] => [X] Task: {189B681F-F6FE-466F-83C7-477EC5E6B05D} - System32\Tasks\{78CDE768-7897-484E-AB9A-4A68D55BBA12} => pcalua.exe -a C:\Users\Jolanta1212\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {682E1735-FD9A-4CE3-A350-BAFEC7E64369} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe Task: {9BD26486-7986-4EF0-8CBF-637F2A25461B} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe Task: {A49BF3F7-9A77-49C3-A571-5F49B97B8EAA} - System32\Tasks\Voo Update => C:\Users\Jolanta1212\AppData\Roaming\VooUpdate\UpdateProc\UpdateTask.exe [2015-01-02] () Task: {CF1ECF34-719F-418F-8066-A4AE3E997247} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E8B58DBA-F2C1-432F-A1B7-D89C08BBDE4B} - System32\Tasks\{B70FA807-84B3-445C-87CC-118609342C94} => pcalua.exe -a C:\Users\Jolanta1212\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {F9A9A84E-FEFC-46FC-8A9B-29FF11802C6C} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Voo Update.job => C:\Users\JOLANT~1\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-176996462-1297743350-943370258-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-176996462-1297743350-943370258-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear Toolbar: HKU\S-1-5-21-176996462-1297743350-943370258-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File C:\Program Files (x86)\06e216f5-6b65-4b5f-ba44-e32635c73cb9 C:\Program Files (x86)\AVG C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\7bb6df21-8ca8-4eec-965d-8cd2261544c7 C:\ProgramData\AVG C:\Users\Administrator C:\Users\Gość C:\Users\Jolanta1212\AppData\Local\nsx1666.tmp C:\Users\Jolanta1212\AppData\Local\Avg C:\Users\Jolanta1212\AppData\Local\Comodo C:\Users\Jolanta1212\AppData\Local\Google C:\Users\Jolanta1212\AppData\Roaming\AVG C:\Users\Jolanta1212\AppData\Roaming\IHlpr C:\Users\Jolanta1212\AppData\Roaming\VooUpdate C:\Users\Jolanta1212\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Jolanta1212\Desktop\Sterowniki\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Jolanta1212\Desktop\Sterowniki\AVG PC TuneUp 2015.lnk C:\Users\Jolanta1212\Downloads\*downloader*.exe C:\WINDOWS\patsearch.bin Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa. -
Wolne działanie systemu oraz wyskakujące reklamy w przeglądarce internetowej
picasso odpowiedział(a) na Corsodyl temat w Dział pomocy doraźnej
Tak, kontynuujesz zgodnie z planem. -
Avira - ukryte obiekty po skanowaniu
picasso odpowiedział(a) na balcerman temat w Dział pomocy doraźnej
Fix wykonany. Na koniec: Usuń pobrany FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz porównaj co wymaga aktualizacji: KLIK. -
Wolne działanie systemu oraz wyskakujące reklamy w przeglądarce internetowej
picasso odpowiedział(a) na Corsodyl temat w Dział pomocy doraźnej
Spróbuj w Trybie awaryjnym wersji okrojonej: Task: C:\WINDOWS.1\Tasks\BlockAndSurf Update.job => C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed] S2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [X] S2 Update DigiHelp; "C:\Program Files\DigiHelp\updateDigiHelp.exe" [X] S1 ASPI32; No ImagePath S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X] S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X] S1 netfilter; system32\drivers\netfilter.sys [X] S2 npf; system32\drivers\npf.sys [X] HKLM\...\Run: [adblock pro] => C:\Adblock Pro\abpmain.exe [372736 2010-06-28] (Adblock Pro Team) HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe HKLM\...\Run: [gmsd_pl_8] => [X] HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] () HKLM\...\Run: [rec_pl_2] => C:\Program Files\rec_pl_2\rec_pl_2.exe [3979432 2014-12-24] () HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff c:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\Picasa 3 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Opera Software C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\CouponMonkey C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD C:\Program Files\DigiHelp C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Folder: C:\WINDOWS.1\system32\dwjobs Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reboot: -
Syf na kompie. Problem z Przeglądarką
picasso odpowiedział(a) na marcin77112 temat w Dział pomocy doraźnej
Jest tu ogromna ilość instalacji adware, wiele z nich stare i w systemie raczęj grzeją już spory czas. Wstępne działania: 1. Przez Panel sterowania odinstaluj: - Adware: HDvid Codec V1, Internet Explorer Toolbar 4.6 by SweetPacks, Photoscape Packages, SiteFinder, Windows Media Player 11 Packages, Yontoo 1.10.02. - Stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.9), Adobe Shockwave Player 11.6, Akamai NetSession Interface, Java 6 Update 31, OpenOffice.org 2.4 (nie umie korzystać z nowszej Java). Nic na razie nie instaluj, najnowsze wersje na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Run: [gmsd_pl_16] => [X] HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\...\Run: [] => [X] HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Dominik\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\...\Policies\Explorer: [HideSCAHealth] 1 IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\safetynut\x64\safetycrt.dll S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-09-25] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-09-25] (BonanzaDeals) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED) S4 rqpbhevlkc32; C:\Program Files\004\rqpbhevlkc32.exe [543232 2014-06-10] () [File not signed] S2 savesenselive; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-13] (SaveSense) S3 savesenselivem; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-13] (SaveSense) S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S1 MpKsl13a62a37; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{35BA8387-C265-47B5-8930-D45B408C9DBB}\MpKsl13a62a37.sys [X] S1 netfilter; system32\drivers\netfilter.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X] S3 XDva401; \??\C:\Windows\system32\XDva401.sys [X] S3 XDva402; \??\C:\Windows\system32\XDva402.sys [X] S3 XDva409; \??\C:\Windows\system32\XDva409.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {01C4E655-24EF-4262-842E-908A4095A613} - System32\Tasks\DealPly => C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-04-23] () Task: {2EAD9E21-1875-4786-9D2F-54F692B759F7} - System32\Tasks\EPUpdater => C:\Users\Dominik\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {4053F668-3EC6-4036-9637-2E79A6C95617} - System32\Tasks\GoodGameEmpire W1 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {5A3ED164-A29F-4698-B7F6-D534FB816E7A} - System32\Tasks\task358833 => C:\Windows\Temp\_ex-08.exe Task: {62E4808D-C63B-4C0A-B621-B42DBE028A58} - \systems No Task File Task: {6E042961-23D9-4FD5-BC83-41FD93DC2150} - System32\Tasks\GoodGameEmpire W2 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {77930916-DC41-4D13-91D7-3C2D5FCD42E7} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-02-13] (SaveSense) Task: {8576AD86-5029-43F2-8C67-B1F41116F93B} - System32\Tasks\GoodGameEmpire NextW1 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {AA1B585A-F14A-42BF-91F1-DEC9DF5CDB85} - \fbagent No Task File Task: {AA3D7EEB-7C06-4283-AAB9-36511726160C} - System32\Tasks\{00E2789E-2120-4C0A-B516-7D5841DE9AAF} => pcalua.exe -a "C:\Program Files\CAPCOM\Devil May Cry 3 Edycja Specjalna\uninstall.exe" -d "C:\Program Files\CAPCOM\Devil May Cry 3 Edycja Specjalna" Task: {B5E62214-A5F9-4E42-964B-3890A7CDEC92} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files\IObit\Game Booster 3\AutoUpdate.exe Task: {B94EFB4F-3084-45D3-89AA-A84C90420EDE} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-09-25] (BonanzaDeals) Task: {B9ADAE2A-425D-42DB-84FA-F0CB7A00DB38} - System32\Tasks\GoodGameEmpire NextW2 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {C174EEE4-8B17-43CC-A512-81BC7E0FF118} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-02-13] (SaveSense) Task: {DE2E9F63-9081-45AC-B045-5C725B4BC358} - System32\Tasks\{778FC7CC-15CA-4C08-B6C4-DCEAE647707C} => pcalua.exe -a "C:\Deluxe Ski Jump 3\Setup.exe" -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluxe Ski Jump 3" Task: {E0DE6DAF-CEEB-42D4-A022-BC1D31AF5728} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-09-25] (BonanzaDeals) Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\Desktop\Ie.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\Desktop\ww.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKLM -> {575B1647-F599-45FB-92FA-158AA62F3396} URL = http://startsear.ch/?aff=2&src=sp&cf=d19cadc4-236d-11e1-b919-001a4d5231a0&q={searchTerms} SearchScopes: HKLM -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={CD349B77-016D-4F1D-B17B-C1EA361EE6EA} SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> {575B1647-F599-45FB-92FA-158AA62F3396} URL = http://startsear.ch/?aff=2&src=sp&cf=d19cadc4-236d-11e1-b919-001a4d5231a0&q={searchTerms} SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={CD349B77-016D-4F1D-B17B-C1EA361EE6EA} BHO: HDvid Codec V1 -> {11111111-1111-1111-1111-110311431162} -> C:\Program Files\HDvid Codec V1\HDvid Codec V1-bho.dll (installdaddy) BHO: SweetPacks Browser Helper -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) BHO: Yontoo -> {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} -> C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC) Toolbar: HKLM - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKLM - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder) Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File CHR StartupUrls: Default -> "hxxp://www.trovi.com/?gd=&ctid=CT3322197&octid=EB_ORIGINAL_CTID&ISID=M2AFC0F76-707D-477D-94B3-9083CFF0F7CC&SearchSource=55&CUI=&UM=8&UP=SP6DC3A597-E075-4BA6-8DA0-2789E522E7E2&SSPV=" CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 -> C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 -> C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.updaterss.com/SaveSenseLive Update;version=3 -> C:\Program Files\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF Plugin: @tools.updaterss.com/SaveSenseLive Update;version=9 -> C:\Program Files\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\Software\Classes\.exe: exefile => AlternateDataStreams: C:\Users\Dominik\Dane aplikacji:NT AlternateDataStreams: C:\Users\Dominik\AppData\Roaming:NT C:\END C:\Program Files\004 C:\Program Files\BonanzaDealsLive C:\Program Files\globalUpdate C:\Program Files\gmsd_pl_16 C:\Program Files\Gophoto.it C:\Program Files\HDvid Codec V1 C:\Program Files\HDvidCodec.com C:\Program Files\predm C:\Program Files\SaveSenseLive C:\Program Files\SiteFinder C:\Program Files\SweetIM C:\Program Files\WinZipper C:\Program Files\Yontoo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\Users\Dominik\AppData\Local\{*} C:\Users\Dominik\AppData\Local\RealSummerSale.crx C:\Users\Dominik\AppData\Local\CrashRpt C:\Users\Dominik\AppData\Local\GGEmpire C:\Users\Dominik\AppData\Local\globalUpdate C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Dominik\AppData\Roaming\BabMaint.exe C:\Users\Dominik\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Dominik\AppData\Roaming\0I0M0D1F2W1G1I1F1T1Q1P1C C:\Users\Dominik\AppData\Roaming\Ask.com C:\Users\Dominik\AppData\Roaming\BabSolution C:\Users\Dominik\AppData\Roaming\Babylon C:\Users\Dominik\AppData\Roaming\DealPly C:\Users\Dominik\AppData\Roaming\dlg C:\Users\Dominik\AppData\Roaming\DSite C:\Users\Dominik\AppData\Roaming\DVDVideoSoft C:\Users\Dominik\AppData\Roaming\DVDVideoSoftIEHelpers C:\Users\Dominik\AppData\Roaming\GGEmpire441 C:\Users\Dominik\AppData\Roaming\HoolappForAndroid C:\Users\Dominik\AppData\Roaming\Media Finder C:\Users\Dominik\AppData\Roaming\Mipony C:\Users\Dominik\AppData\Roaming\OpenCandy C:\Users\Dominik\AppData\Roaming\Opera C:\Users\Dominik\AppData\Roaming\PerformerSoft C:\Users\Dominik\AppData\Roaming\rmi C:\Users\Dominik\AppData\Roaming\SaveSense C:\Users\Dominik\AppData\Roaming\SimilarSites C:\Users\Dominik\AppData\Roaming\Solvusoft C:\Users\Dominik\AppData\Roaming\systweak C:\Users\Dominik\AppData\Roaming\TMNT C:\Users\Dominik\AppData\Roaming\WinZipper C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GoodGameEmpire.lnk C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense C:\Users\Dominik\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\Dominik\Desktop\Niepotwierdzony*.crdownload C:\Users\Public\Documents\ShopperPro C:\Users\Dominik\Downloads\*Downloader*.exe c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\Drivers\SPPD.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg; reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dominik\AppData\Local CMD: dir /a C:\Users\Dominik\AppData\LocalLow CMD: dir /a C:\Users\Dominik\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. -
Wolne działanie systemu oraz wyskakujące reklamy w przeglądarce internetowej
picasso odpowiedział(a) na Corsodyl temat w Dział pomocy doraźnej
Zostawiam tylko jeden komplet logów. Sprawa nie jest rozwiązana, nadal dużo obiektów adware. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS.1\Tasks\BlockAndSurf Update.job => C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe R1 ccnfd_1_10_0_4; C:\WINDOWS.1\System32\drivers\ccnfd_1_10_0_4.sys [52728 2014-12-04] (ClickCaption) R2 ccsvc_1.10.0.4; C:\Program Files\ClickCaption_1.10.0.4\Service\ccsvc.exe [277584 2014-12-04] (ClickCaption) S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed] S2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [X] S2 Update DigiHelp; "C:\Program Files\DigiHelp\updateDigiHelp.exe" [X] S1 ASPI32; No ImagePath S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X] S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X] S1 netfilter; system32\drivers\netfilter.sys [X] S2 npf; system32\drivers\npf.sys [X] HKLM\...\Run: [adblock pro] => C:\Adblock Pro\abpmain.exe [372736 2010-06-28] (Adblock Pro Team) HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe HKLM\...\Run: [gmsd_pl_8] => [X] HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] () HKLM\...\Run: [rec_pl_2] => C:\Program Files\rec_pl_2\rec_pl_2.exe [3979432 2014-12-24] () HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff c:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\Picasa 3 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Opera Software C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\CouponMonkey C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD C:\Program Files\DigiHelp C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Folder: C:\WINDOWS.1\system32\dwjobs Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: Click Caption 1.10.0.4, Games-desktop 008.1, Games-desktop 008.2, Max_EN Toolbar, Softonic Assistant. - Stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader XI (11.0.08) - Polish, Adobe Shockwave Player 11.5, AutoUpdate, Gadu-Gadu 10, Google Chrome, Java 6 Update 22, Mozilla Firefox 14.0.1 (x86 pl), OpenOffice.org 3.0. Przy deinstalacji przeglądarek zaznacz opcję usuwania danych użytkownika. I co uznasz jeszcze za stosowne. 3. AdwCleaner błędnie naprawił skrót IE: Shortcut: C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) Przejdź do pokazanej powyżej ścieżki "Narzędzia systemowe". Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Po kolei loguj się na konta STANISŁAW i GRAŻKA poprzez pełny restart komputera (a nie opcje Wyloguj czy Przełącz użytkownika). Na każdym zrób po dwa logi FRST, tzn. Główny + Addition (Shortcut już nie jest potrzebny). Dołącz też plik fixlog.txt. -
Nie. Podałam tylko informację o co chodzi, który element tworzy problem. Rozszerzenie usunął reset Firefox. Ogólnie wszystko zrobione. Ostatni skrypt do FRST: HKU\S-1-5-21-1441841916-1275126410-3063703315-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Mikus\AppData\Local\Akamai\netsession_win.exe" FF Plugin: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) C:\Windows\system32\deployJava1.dll C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Users\Mikus\AppData\Local\Opera C:\Users\Mikus\AppData\Roaming\Opera RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Mikus\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Mikus\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.
-
Wirus obciążający kartę graficzną
picasso odpowiedział(a) na michalpa1 temat w Dział pomocy doraźnej
Bitcoin Miner usunięty. Niestety nie kończymy, w międzyczasie nabawiłeś się adware (omiga-plus.com i toolbar), na jeden z tych sposobów: KLIK. Kolejna porcja czynności: 1. Odinstaluj DAEMON Tools Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-02] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} C:\Program Files (x86)\DAEMON Tools Toolbar C:\ProgramData\WindowsMangerProtect Folder: C:\Users\Puderniczek\AppData\Local\THQ EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj "Usuń"). Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt i log z AdwCleaner. -
Jak mówiłam, omawiany wpis DXM6Patch_981116 nie jest szkodliwy, można go za to wyłączyć lub skasować ze startu. Natomiast w systemie są owszem różne obiekty adware. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [469504 2014-12-31] (SysTool PasSame LIMITED) [File not signed] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z ShortcutWithArgument: C:\Users\Justyna\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} HKU\S-1-5-21-1264171829-1937904821-877429023-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} HKU\S-1-5-21-1264171829-1937904821-877429023-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z HKU\S-1-5-21-1264171829-1937904821-877429023-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.qone8.com/web/?type=ds&ts=1395760301&from=tt4u&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Justyna\AppData\Roaming\Mozilla\Firefox\Profiles\ul984mml.default\extensions\detgdp@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1420043606&from=wpm12311&uid=ST500LT012-1DG142_S3P1SN2ZXXXXS3P1SN2Z Task: {8AD4C0C5-A4BB-44E4-85D1-3737047DC28D} - System32\Tasks\{ACA4A858-16A6-47DB-8CDA-86B66BD22196} => pcalua.exe -a F:\SETUP.EXE -d F:\ HKLM-x32\...\Run: [fst_pl_89] => [X] HKLM-x32\...\Run: [DXM6Patch_981116] => C:\Windows\p_981116.exe [497376 1998-11-30] (Microsoft Corporation) HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoControlPanel] 0 C:\Program Files (x86)\WinZipper C:\ProgramData\IePluginService C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\ProgramData\WPM C:\Users\Justyna\AppData\Roaming\qone8 C:\Users\Justyna\AppData\Roaming\SupTab C:\Users\Justyna\AppData\Roaming\WinZipper Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Komunikat z "Kontrolą konta użytkownika" nie powinien się już pojawić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj "Usuń"). Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.
-
Komunikat oznacza, że plik nie został poprawnie pobrany i jest prawdopodobnie uszkodzony. Ponów ściąganie narzędzia.
-
Poproszę o dostarczenie nowego raportu FRST Addition. Podane operacje wykonane, ale tu niestety nie koniec akcji i potrzebuję dodatkowy raport. W międzyczasie zaszły nowe niekorzystne zmiane, adware zostało zrekonstruowane we wszystkich przeglądarkach, włączając w to Operę: ========================= Folder: C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Extensions ======================== 2014-12-28 17:35 - 2014-12-28 17:35 - 0000000 ____D () C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Extensions\bkfoggbmaeddfflfppchdlbakjilclbp 2014-12-30 09:12 - 2014-12-30 09:12 - 0000000 ____D () C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Extensions\gnjbfdmiommbcdfigaefehgdndnpeech ========= type "C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Preferences" ========= }, "bkfoggbmaeddfflfppchdlbakjilclbp": { "active_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "creation_flags": 9, "disable_reasons": 1, "from_webstore": true, "granted_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "install_time": "13064310800658695", "location": 1, "manifest": { "background": { "page": "background.html" }, "content_scripts": [ { "all_frames": true, "js": [ "js/f51b32f25855193bebe932d5d2bbe10c.js", "js/lib/b7dbc7a21228b1e4088324cdb758c6d5.js", "js/lib/c3b97c998800fb332aa2f665e7d8c153.js", "js/lib/1f5221f92e229688151679b535856a6b.js", "js/lib/29185519012c91e5843c6050b88cdeb2.js", "js/api/3335eb118d563fc3d408d304d12b978d.js", "js/api/7c55fffbb8795f6414aff9162d2e5c0f.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ], "matches": [ "http://*/*", "https://*/*" ], "run_at": "document_start" } ], "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'", "description": ".", "icons": { "128": "icons/icon128.png", "16": "icons/icon16.png", "48": "icons/icon48.png" }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCrYd6VkBy6oOVm2z3r9zCz1gOOsnctlBhi/gQkITgha1kp8R13nbkVzILFBFeUGXIoh5wPndNKl6W7OlGee4MvIVpRImfbwnAKFRRgWhBtSl2p78vIR0cPYXS55PgMUcEg6IhUup0Hk0UuLJj4UsRolL8GbuqhLSU57u5eTRgdUQIDAQAB", "manifest_version": 2, "name": "SensePlus", "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ], "update_url": "https://w9u6a2p6.ssl.hwcdn.net/plugin/chrome/update/69059.xml", "version": "1.26.9", "web_accessible_resources": [ "Settings.json" ] }, "path": "bkfoggbmaeddfflfppchdlbakjilclbp\\1.26.9_0", "state": 0 }, (...) }, "gnjbfdmiommbcdfigaefehgdndnpeech": { "active_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "blacklist": true, "creation_flags": 9, "from_webstore": true, "granted_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "install_time": "13064417813249403", "location": 1, "manifest": { "background": { "page": "background.html" }, "content_scripts": [ { "all_frames": true, "js": [ "js/32a53583d1d42dc2f361176fe59d1f58.js", "js/lib/ad82002729dc100a220d67f1f5630ab5.js", "js/lib/53071955fb80f448ba9707252962d495.js", "js/lib/ba1606f292fee2086ddd4c30f05d3115.js", "js/lib/e66211001bb423ca28e8ba0c0f73b740.js", "js/api/539a3f8bdb23e8c73d141ced6efb8b4b.js", "js/api/1411447a675ad5fb31d1a6e352224f4f.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ], "matches": [ "http://*/*", "https://*/*" ], "run_at": "document_start" } ], "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'", "description": "iWebar", "icons": { "128": "icons/icon128.png", "16": "icons/icon16.png", "48": "icons/icon48.png" }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOndgALitzFIkWoQoFgUeBxfKyyIINgeuYe8f2/rMei3ZbgXu45ZfRfQ1AzQdCI1q32Yd8oAujBFYx7RgkWYeSkm/hanGSJTafzqW94SOVei59cHUig0qU3QD554CeKg5ScwcVGZdN3MECvGGZ6UMhJUZvRCayKlbvbBBzN+M41wIDAQAB", "manifest_version": 2, "name": "iWebar", "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ], "update_url": "https://clients2.google.com/service/update2/crx", "version": "1.26.26", "web_accessible_resources": [ "Settings.json" ] }, "path": "gnjbfdmiommbcdfigaefehgdndnpeech\\1.26.26_0", "state": 1
-
Dziwne logowania na Facebooku - po formacie spowolniony system
picasso odpowiedział(a) na ewenement temat w Dział pomocy doraźnej
W raportach brak oznak infekcji i wątpliwe, by o to tu chodziło. Tu są podejrzani z innej półki, system nie jest przecież taki "świeżutki" - multum wtórnych instalacji oprogramowania zewnętrznego. Pierwsze z brzegu inwazyjne software, tzn. zabezpieczające: COMODO + Avast + MBAM. Zamiast szukać infekcji, zacząć od sprawdzenia co się stanie po testowej deinstalacji (to daje pewność deaktywacji wszystkich czynności, nie jest możliwe proste ręczne ubicie wszystkich sterowników), zaczynając od COMODO. W razie braku poprawy można jeszcze zacząć wyłączać różne usługi ze startu. Na razie jednak do sprawdzenia COMODO. Po tym wygeneruj nowe logi FRST i opisz czy są zmiany. Z tego co rozumiem podane raporty nie pochodzą z okresu owego "włamania", są już po formacie. Brak danych z tamtego okresu, zrzuty ekranu nie są tu też przeważającym dowodem: Poza tym, tu wcale nie jest pewne czy to w ogóle było włamanie, równie dobrze to mogłby być logowania tego użytkownika - geolokalizacja na Facebooku jest nieprecyzyjna: KLIK / KLIK. -
Unisales - Błąd 'odmowa dostępu' przy starcie systemu.
picasso odpowiedział(a) na Buss temat w Dział pomocy doraźnej
W systemie nadal aktywnie działa adware - czynna usługa duuwysugju32.exe, zmodyfikowane skróty LNK przeglądarek, wielokrotne wystąpienia "Unisales" w Google Chrome. Dodatkowo Google Chrome zostało przekonwertowane przez adware z wersji stabilnej do developerskiej i jest wymagana kompleksowa reinstalacja przeglądarki. Akcja: 1. Odinstaluj Adobe Flash Player 15 Plugin, Baidu PC Faster, Google Chrome, Surfing Protection, youtubeadblocke, YTD Video Downloader 4.8.8. Ten "Baidu PC Faster" to "foistware", wpychany na siłę program, promowany różnymi wątpliwymi metodami. Ogólnie też raczej nie mam zbyt dużej wiary w produkty serii "Baidu". Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę dokończy skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 duuwysugju32; C:\Program Files\010\duuwysugju32.exe [682992 2014-12-01] () S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {B378B47A-28BF-4BC9-9DD4-A98E88535217} - System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633 => Cscript.exe "C:\ProgramData\Baidu Security\Duplicaterecord.js" Task: {B46DA656-CFB9-480E-AF41-F492A218538C} - System32\Tasks\Driver Booster SkipUAC (Bartas) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Winlogon\Notify\igfxcui: igfxdev.dll [X] ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 ShortcutWithArgument: C:\Users\Bartas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-650162474-3479143291-2949318116-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms} HKU\S-1-5-21-650162474-3479143291-2949318116-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-650162474-3479143291-2949318116-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 HKU\S-1-5-21-650162474-3479143291-2949318116-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms} SearchScopes: HKU\S-1-5-21-650162474-3479143291-2949318116-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1419982243&from=wpc&uid=WDCXWD10JPVX-22JC3T0_WD-WXN1E53LN923LN923&q={searchTerms} SearchScopes: HKU\S-1-5-21-650162474-3479143291-2949318116-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={EB100B5E-7829-4996-AEDC-7CCCEEB03B61}&mid=a43ef933413c47d2b975bd389f502224-cc1cd67400a2bdc9d58a252e831ba5b474d9cff5&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-06 08:11:10&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} C:\Program Files\010 C:\Program Files\DD7191F4-293C-452F-8784-D96DE9582EC4 C:\Program Files (x86)\Google C:\Program Files (x86)\SupTab C:\Program Files (x86)\unisalles C:\Program Files (x86)\unniisaLess C:\Program Files (x86)\youtubeadblocker C:\ProgramData\10229327142306814426 C:\ProgramData\3872871776 C:\ProgramData\acdomncddgfbgiodpnkpepljpcbkhjih C:\ProgramData\phoefbekihhklcpagncllbgdjaflikia C:\ProgramData\IePluginServices C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Bartas\AppData\Local\Google Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg; reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. -
Tak, ja wiem czym jest G, mam to przecież w Addition: ==================== Drives ================================ Drive c: () (Fixed) (Total:145.44 GB) (Free:33.22 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (Nowy) (Fixed) (Total:87.44 GB) (Free:79.38 GB) NTFS Drive g: () (Removable) (Total:1.87 GB) (Free:0.58 GB) FAT Tu chodzi o to, że DelFix nie skasuje z takiej lokalizacji FRST, dlatego podałam ręczne kasowanie. Fix wykonany. Przejdź do dalszych czynności.
-
Posty połączyłam. W systemie widać szczątki adware, jeden z nich jest czynny i uruchamia się poprzez Harmonogram zadań (Installer_sense kierujące na ścieżkę C:\Users\Mikołaj\AppData\Local\Installer) - to jest przyczyna komunikatów antywirusa. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {57EE36C9-3F48-452C-8F1B-A09206A4AE05} - \Installer_iwebar No Task File Task: {D2953D5E-C972-4E0A-8F9C-DA5063A440BE} - System32\Tasks\Installer_sense => C:\Users\Mikołaj\AppData\Local\Installer\Installsense_6905\ins_postInst.exe [2014-12-28] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-4210712741-2411047792-420992153-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4210712741-2411047792-420992153-1002 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File HKU\S-1-5-21-4210712741-2411047792-420992153-1002\...\Run: [Facebook Update] => "C:\Users\MikoBaj\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath S3 Hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45112 2014-12-01] (LogMeIn Inc.) S1 lmimirr; \SystemRoot\system32\DRIVERS\lmimirr.sys [X] S2 SPDRIVER_1454.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1454.0.0.0\jsdrv.sys [X] C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\COMODO C:\ProgramData\LogMeIn C:\ProgramData\Temp C:\Users\Mikołaj\AppData\Local\Installer C:\Users\Mikołaj\AppData\Local\LogMeIn C:\Users\Mikołaj\AppData\Local\LogMeInIgnition C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default C:\Users\Mikołaj\AppData\Local\Opera Software C:\Users\Mikołaj\AppData\Roaming\sp_data.sys C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Mikołaj\AppData\Roaming\Opera Software C:\Users\Mikołaj\Desktop\AON\LibreOffice 4.1.lnk C:\Users\Mikołaj\Desktop\AON\OpenOffice.org 3.4.1.lnk C:\Users\Mikołaj\Desktop\To i owo\Hi-Rez Diagnostics and Support.lnk C:\Users\Mikołaj\Downloads\SpyHunter-Installer.exe C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper C:\Users\UpdatusUser\Desktop\YouTube Accelerator.lnk C:\WINDOWS\system32\Drivers\cmdatp.sys C:\WINDOWS\system32\Drivers\Hamdrv.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. Potwierdź ustąpienie problemów.
-
Kolejna porcja czynności: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: U2 ezSharedSvc; No ImagePath FF Plugin: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows\erdnt CMD: del /q C:\ESETSirefefCleaner*.log CMD: del /q C:\fix.txt CMD: del /q C:\sfc.txt CMD: del /q C:\SetACL.exe CMD: del /q C:\Users\Madga\Desktop\fix.vbs CMD: del /q "C:\Users\Madga\Documents\SetACL — skrót.lnk" CMD: del /q C:\Windows\SetACL.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt zanim przejdziesz do punktu numer 2. 2. Usuń folder G:\1Służbowe\1FRST. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Uruchom ponownie Windows Update i sprawdź czy kolejne wyszukiwanie zwraca coś do instalacji. Jeśli tak, zaktualizuj wszystko. 4. Zainstaluj Bitdefendera i zdaj sprawozdanie, czy nastąpiło zamulenie lub inne negatywne zdarzenia.
-
Błąd RegSvr32 oraz błąd sterownika karty sieciowej
picasso odpowiedział(a) na Spawn temat w Dział pomocy doraźnej
- Wadliwe urządzenie Teredo nie jest dużym problemem. Tego interfejsu można się nawet całkowicie pozbyć: KLIK. - Błąd regsvr32 pochodzi od wpisu infekcji. Likwidacja błędu regsvr32 oraz inne poboczne działania; 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2996028574-285204127-4089189736-1002\...\Run: [JoxdaNyano] => regsvr32.exe "C:\ProgramData\JoxdaNyano\JoxdaNyano.dat" HKU\S-1-5-21-2996028574-285204127-4089189736-1002\...\Run: [RGSC] => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction URLSearchHook: [s-1-5-21-2996028574-285204127-4089189736-1001] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKU\S-1-5-21-2996028574-285204127-4089189736-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2996028574-285204127-4089189736-1002 -> {3BB40DEB-981D-4ADD-9EEC-3D6255CC4B4A} URL = Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-2996028574-285204127-4089189736-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {17054321-7B1F-480D-ABB5-65ADC90259A4} - System32\Tasks\{735D1DE3-CE0C-4234-937D-06681CE91A11} => pcalua.exe -a "C:\Program Files (x86)\Common Files\InstallShield\Driver\8\Intel 32\IDriver.exe" -c /M{EF0D610C-92BE-4D8F-BD33-9F658F8754F1} /Z"UNINSTALL" Task: {433046A0-B193-4731-BC9D-84E7FDE6A8AF} - System32\Tasks\{0E53E913-6A7B-479A-A4F9-A0B1C9CA025E} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {4B2855BF-9AD8-4BC1-8670-D2D686657610} - System32\Tasks\{E39ABA56-4471-4F34-ACA1-7120AE0F63B1} => pcalua.exe -a E:\start.exe -d E:\ Task: {74B97F05-523E-44E2-8D30-F418F145F7FC} - System32\Tasks\{1468C92E-6B9E-4808-9127-99456A9719B7} => pcalua.exe -a "E:\pelne\GTI Racing\instmsiw.exe" -d "E:\pelne\GTI Racing" Task: {7D5F9049-A6D8-4432-A2A3-1CFB5476F5DB} - System32\Tasks\{295D33BB-4A5D-4810-8383-AFA233B51469} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {CEF3D6A0-939E-4475-9F3D-D939BAFFA12B} - System32\Tasks\{3AF59216-3F6A-4B7E-97C4-F989DC2161EC} => pcalua.exe -a E:\Setup_Polish.exe -d E:\ Task: {E8DE1CF5-5FB1-4138-9124-26AE46B264BF} - System32\Tasks\{EFDC7A4E-F380-4E64-A2BB-46458E103865} => pcalua.exe -a E:\cda_menu.exe -d E:\ C:\ProgramData\253696b0-e9b9-4e71-87e6-dd3f97c02b2a C:\ProgramData\JoxdaNyano C:\ProgramData\Nero C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Jetris C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mahjong 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Puzzles C:\Users\SYLWIA\AppData\Local\Google C:\Users\SYLWIA\AppData\Roaming\Nero C:\Users\SYLWIA\AppData\Roaming\Opera Software C:\Users\SYLWIA\AppData\Roaming\WebApp C:\Users\SYLWIA\AppData\Roaming\WebTest C:\Users\SYLWIA\AppData\Roaming\GoldenGate C:\Users\SYLWIA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\SYLWIA\Downloads\SoftonicDownloader*.exe C:\Users\SYLWIA\Downloads\sysrc_trial.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, błąd nie powinien się pokazać. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Ustaw Firefox lub IE jako domyślną przeglądarkę, gdyż obecnie pokazuje się nieistniejąca już Opera jako domyślna. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oeraz logi z folderu C:\AdwCleaner. -
Zacinający się flash oraz wyłączanie się przeglądarki - problem związany z FIFĄ 14'
picasso odpowiedział(a) na Klyta temat w Dział pomocy doraźnej
W systemie działa infekcja - wielokrotny wpis udający systemowy "svchost". Log sugeruje, że infekcja weszła z crackiem / modyfikacją Fifa - popatrz na lokalizację pliku infekcji "Windows Update Check" pomiędzy plikami Fifa: 2015-01-04 15:35 - 2015-01-04 15:37 - 00768690 _____ () C:\Users\Admin\Desktop\D3DX9_43.dll.rar 2015-01-04 15:34 - 2013-10-12 20:09 - 00000000 ____D () C:\Users\Admin\Desktop\FIFA 14 CRACK SG 2015-01-04 15:24 - 2015-01-04 15:31 - 29643023 _____ () C:\Users\Admin\Desktop\FIFA 14 CRACK SKIDROW.rar 2015-01-04 14:09 - 2015-01-04 14:09 - 00000445 _____ () C:\Users\Public\Desktop\Fifa14.lnk 2015-01-04 14:09 - 2015-01-04 14:09 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fifa14 2015-01-04 13:47 - 2015-01-04 13:47 - 00003216 _____ () C:\Windows\System32\Tasks\Windows Update Check - 0x0C290301 2015-01-04 13:44 - 2014-09-02 17:55 - 00000396 _____ () C:\Users\Admin\Desktop\Instrukcja.txt 2015-01-04 13:44 - 2014-09-02 17:53 - 03292580 _____ () C:\Users\Admin\Desktop\Squads 20140902175347#NEWSQ 2015-01-04 13:40 - 2015-01-04 13:43 - 01457477 _____ () C:\Users\Admin\Desktop\Oficjalna aktualizacja składów FIFA 14! - by cross16.rar 2015-01-04 13:25 - 2015-01-04 13:44 - 00000000 ____D () C:\Users\Admin\Documents\FIFA 14 2015-01-03 17:07 - 2013-09-25 07:23 - 00000000 ____D () C:\Users\Admin\Desktop\FIFA 14 Crack-SKIDROW 2015-01-03 16:51 - 2015-01-03 17:06 - 35520629 _____ () C:\Users\Admin\Desktop\FIFA-14-Crack-SKIDROW.rar Operacje do przeprowadzenia: 1. Odinstaluj Fifa14. Usuń wszystkie pobrane powiązane cracki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4077485639-3502206449-3560548379-1000\...\Run: [svchost] => C:\ProgramData\svchost0\bzsbkotiu.exe [0 ] () HKU\S-1-5-21-4077485639-3502206449-3560548379-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [svchost] => C:\ProgramData\svchost0\bzsbkotiu.exe [0 ] () Task: {9873B173-62FF-4715-A1FF-46B2E30C7675} - System32\Tasks\Windows Update Check - 0x0C290301 => C:\ProgramData\svchost0\bzsbkotiu.exe [] () Task: {8719D146-22D1-4EE3-8EF9-A7B88CDC757E} - System32\Tasks\{854E8FE0-DD88-41CF-968C-4DAD32FAC774} => pcalua.exe -a C:\Users\Admin\Desktop\Synaptics\Setup.exe -d C:\Users\Admin\Desktop\Synaptics Task: {CF9C79F4-2094-443D-9789-B690D67EA51D} - System32\Tasks\{1C31A6EC-602A-4A5D-A63A-3E8167DE08DA} => pcalua.exe -a C:\Users\Admin\Desktop\Synaptics\WinWDF\x64\setup.exe -d C:\Users\Admin\Desktop\Synaptics\WinWDF\x64 IFEO\rstrui.exe: [Debugger] r_.exe C:\ProgramData\svchost0 C:\ProgramData\Temp C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{E6C93316-271E-4b3d-8D7E-FE11B4350AEB}.xpi C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\3c2tyvdb.default\user.js Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.