picasso

Brak jakichkolwiek oznak infekcji. Opisywany problem z użwaniem AdwCleaner wygląda na pochodną innych czynników. Skoro Tryb awaryjny umożliwia pracę programu, to wręcz nasuwa się iż antywirus (tu: AVG 2015) może blokować czynności czyściciela. Prawdopodobnie AVG widzi "malware" w AdwCleaner. Wg FRST nie ma czynnych obiektów adware w przeglądarce. Nie ma raportów AdwCleaner, więc trudno ocenić o co mu chodzi (w którym miejscu preferencji) i czy wyniki są na pewno rzeczywiste (prawda a nie fałszywy alarm). Zakładając, że są to prawdziwe zgłoszenia: jeśli problem wraca, to może masz włączoną synchronizację Google Chrome z serwerem? W takim przypadku preferencje są odtwarzane w kółko z serwera i czyszczenie lokalnego Google Chrome jest bez sensu, w pierwszej kolejności trzeba wyłączyć synchronizację (i nie włączać dopóki nie wyczyszczą danych z serwera), dopiero po tym czyszczenie lokalne jest zasadne. Przypominam także, że: - Czyszczenie AdwCleaner to metoda "na chama" i to się stosuje tylko gdy już nic nie da się zrobić wprost w opcjach przeglądarki. Czyszczenie Google Chrome wprost w ustawieniach to najlepsza i najbardziej poprawna metoda. Czyszczenie AdwCleaner robi sztuczne modyfikacje, niekiedy mogą skutkować uszkodzeniem preferencji. - AdwCleaner nie jest wolny od błędów i fałszywych alarmów. Nawet ostatnio zgłaszałam autorowi sporo poprawnych wpisów omyłkowo usuwanych. Dodatkowo, conajmniej raz AdwCleaner pokazał jakieś głupoty u mnie w czystej instalacji Google Chrome lub Opera (nie pamiętam dokładnie) tzn. wyszukiwarki adware, które nigdy nawet nie istniały. Nie wiem skąd takie wyniki były, ale był to problem tymczasowy (nie prowadziłam żadnego usuwania tylko ponownie uruchomiłam program i już zero wyników). PS. Do usunięcia tylko wpisy puste i odpadkowe oraz tempy, ale to nie ma żadnego związku z problemami i jest tylko kosmetyką. Do Notatnika wklej: CloseProcesses: S3 cleanhlp; \??\C:\Program Files\Emsisoft Anti-Malware\cleanhlp32.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File FF Plugin: @real.com/nppl3260;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll No File FF Plugin: @real.com/nprpplugin;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll No File CHR HKLM\...\Chrome\Extension: [fplhdcjmbpfkejbhngmlngaecbjmoimd] - C:\Program Files\AVAST Software\Avast\AdBlocker\Chrome\avast-adblocker-chrome.crx [Not Found] Task: {5AA88332-FE37-44D8-BB60-23A4ACE3AC7E} - System32\Tasks\{7474CC67-77BE-435B-BEB7-0DD74B92228A} => pcalua.exe -a C:\Users\Iwona\Downloads\HexagemV120.exe -d C:\Users\Iwona\Downloads HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" CMD: for /d %f in (C:\Users\Iwona\AppData\Local\{*}) do rd /s /q "%f" C:\ProgramData\K01Rffky.dat C:\ProgramData\TEMP C:\Users\Iwona\AppData\Local\{*} C:\Users\Iwona\AppData\Local\BIT4394.tmp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Temat jedzie do działu Windows. Nie wiem skąd tu podejrzenia infekcji. To usterka systemowa, utrata dostępu do poprzedniego katalogu konta może mieć różne przyczyny np. błędy dysku, błędy oprogramowania (dostęp może zablokować też ... program zabezpieczający). Running from C:\Windows\System32\config\systemprofile\Desktop Loaded Profiles: (Available profiles: Ewa & Gość) ========================= Accounts: ========================== Administrator (S-1-5-21-1139975738-3604310859-1138287078-500 - Administrator - Disabled) Ewa (S-1-5-21-1139975738-3604310859-1138287078-1000 - Administrator - Enabled) => C:\Users\TEMP Gość (S-1-5-21-1139975738-3604310859-1138287078-501 - Limited - Enabled) => C:\Users\Gość Application errors: ================== Error: (01/06/2015 10:19:21 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Ewa-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. Do wdrożenia operacje z Reprofiler rozpisane w tym temacie: Konto Ewa należy przekierować z C:\Users\TEMP na C:\Users\Ewa.

Tak. Program nie odinstalował się w poprawny sposób. Wymagane poprawki usuwające elementy startowe i folder: Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [Google Desktop Search] => C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2009-06-24] (Google) AppInit_DLLs: c:\progra~1\google\google~1\goec62~1.dll => c:\Program Files\Google\Google Desktop Search\GoogleDesktopNetwork3.dll [119296 2009-06-24] (Google) S3 GoogleDesktopManager-092308-165331; C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [30192 2009-06-24] (Google) CMD: for %i in (c:\progra~1\google\google~1\*.dll) do regsvr32 /u /s %i C:\Program Files\Google\Google Desktop Search Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nowy skan FRST nie jest już potrzebny.

Jest tu mnóstwo innych wpisów adware, nie tylko "Cyti Web", a także czynna infekcja "MSDCSC" (w GMER widać załadowany ukryty proces). Poza tym, adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja browsera. Próbując rozwiązać problem posługiwałeś się wątpliwym skanerem z czarnej listy - SpyHunter 4. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje i wątpliwy skaner: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Google Chrome, Java 7 Update 60, Java 8 Update 11, SpyHunter 4. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę obiektów Google dokończy skrypt poniżej. Najnowsze wersje Adobe i Java zainstalujemy dopiero na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw; C:\Windows\System32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys [43152 2015-01-06] (StdLib) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-06] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-01-06] (globalUpdate) [File not signed] R2 Update Cyti Web; C:\Program Files\Cyti Web\updateCytiWeb.exe [528624 2015-01-07] () R2 Util Cyti Web; C:\Program Files\Cyti Web\bin\utilCytiWeb.exe [528624 2015-01-07] () S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] HKLM\...\Run: [mbot_pl_4] => [X] HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [PriceMeterW] => "C:\Users\BHP\AppData\Local\PriceMeter\pricemeterw.exe" HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\BHP\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-3408851026-3105934659-272300781-1001\...\Run: [MicroUpdate] => C:\Users\BHP\Documents\MSDCSC\msdcsc.exe AppInit_DLLs: c:\progra~1\pc_boo~1\assist~1.dll => c:\progra~1\pc_boo~1\assist~1.dll File Not Found Task: {0091B0BE-903D-4455-9D67-4B7A3C4D2219} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe Task: {136B982C-44C9-4672-BFDD-CE05A654C753} - System32\Tasks\{227C132E-77CB-487E-BF81-9BB23B5ACFCB} => pcalua.exe -a "C:\Program Files\Intelore\RAR Password Recovery\uninstall.exe" Task: {1C5B3CD9-00AD-428B-8D0B-B6296BE715ED} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-6 => C:\Program Files\TheTorntv V10\TheTorntv V10-novainstaller.exe Task: {2D85A5E9-D3D8-4275-9A18-572B2C8E6A43} - System32\Tasks\{D21D127C-9BD1-47E7-9FC5-508056F38262} => Firefox.exe http://ui.skype.com/ui/0/6.21.0.104/pl/abandoninstall?page=tsProgressBar Task: {4736C4B5-987B-4DE3-B86A-820D508A20C1} - System32\Tasks\pricemeterdownloader => C:\Users\BHP\AppData\Local\PriceMeter\pricemeterd.exe Task: {5D030EF7-71F1-4367-833D-ACF285878180} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {683FD69E-A773-4A54-AC2A-41F84366AECB} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-01-06] (globalUpdate) Task: {725EEF32-8EC5-455A-8E5F-87D69C8C5253} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-2 => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-2.exe Task: {73CCAE97-5709-493B-9197-A535C65724A0} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2015-01-06] (globalUpdate) Task: {8ADBA85E-E164-40A8-8125-7A548949CF06} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-7 => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-7.exe [2015-01-06] (iWebar) Task: {95622347-DF96-4425-A8D8-9B7AB9AD28F9} - System32\Tasks\{1E78F1B7-314D-4452-998F-CE6714AABF5A} => Firefox.exe http://ui.skype.com/ui/0/6.21.0.104/pl/abandoninstall?page=tsProgressBar Task: {B0601C9C-E2F9-4BD4-8D8E-D77908F66147} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-4 => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-4.exe Task: {C4CFBFA9-E00A-4A52-BAB1-51E715C222F5} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe Task: {C8294AAA-5542-49EF-A5A2-9AA1B51823B0} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-6 => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-6.exe [2015-01-06] (iWebar) Task: {C96F1AAB-0688-4F5A-A7B1-FBDE9C171FEE} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-1 => C:\Program Files\Ge-Force\Ge-Force-codedownloader.exe [2015-01-06] (iWebar) Task: {CC11880E-4ED9-4336-9E96-5EFA6AF343DE} - System32\Tasks\YTDownloader => C:\Program Files\YTDownloader\YTDownloader.exe Task: {CF9317F3-A54E-4955-9FCF-1B674431A4D1} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5 => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe [2015-01-06] (iWebar) Task: {DE682B09-9637-4614-8416-7AC04CE9783A} - System32\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5_user => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe [2015-01-06] (iWebar) Task: {E2FCC61F-4D9B-4963-9A65-A7F2B1E663A8} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-01-06] (Enigma Software Group USA, LLC.) Task: {FAD20220-055A-4EA1-A558-3170D827B77C} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-7 => C:\Program Files\TheTorntv V10\TheTorntv V10-nova.exe Task: {FB835441-D6CE-4EDC-9F89-90E56E12A365} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5 => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: {FB90C11D-3809-4B33-AF28-33BD13C95980} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-1 => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: {FBA1B2A2-0A80-4658-BE54-A7F2AC7EDB05} - System32\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5_user => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-1.job => C:\Program Files\Ge-Force\Ge-Force-codedownloader.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-5_user.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-5.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-6.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-6.exe Task: C:\Windows\Tasks\4a263a02-ae51-4b9a-a531-2037e520e833-7.job => C:\Program Files\Ge-Force\4a263a02-ae51-4b9a-a531-2037e520e833-7.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-1.job => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-2.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-2.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-4.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-4.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-5_user.job => C:\Program Files\TheTorntv V10\798c9d1a-d35a-41a7-b128-4763313e6ae1-5.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-6.job => C:\Program Files\TheTorntv V10\TheTorntv V10-novainstaller.exe Task: C:\Windows\Tasks\798c9d1a-d35a-41a7-b128-4763313e6ae1-7.job => C:\Program Files\TheTorntv V10\TheTorntv V10-nova.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} HKU\S-1-5-21-3408851026-3105934659-272300781-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 HKU\S-1-5-21-3408851026-3105934659-272300781-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1406195089&from=ild&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} SearchScopes: HKU\S-1-5-21-3408851026-3105934659-272300781-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1406196721&from=amt&uid=WDCXWD2500BEVT-11A0RT0_WD-WX50AA95488954889&q={searchTerms} BHO: TheTorntv V10 -> {11111111-1111-1111-1111-110611111177} -> C:\Program Files\TheTorntv V10\TheTorntv V10-bho.dll No File BHO: Ge-Force -> {11111111-1111-1111-1111-110611971195} -> C:\Program Files\Ge-Force\Ge-Force-bho.dll (iWebar) BHO: Cyti Web 1.0.0.6 -> {aa2fac44-d24d-4fed-9e32-397d138365f1} -> C:\Program Files\Cyti Web\CytiWebBHO.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\omiga-plus.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2014-07-14] FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\BHP\AppData\Roaming\Mozilla\Firefox\Profiles\1jnq2kwm.default\extensions\faststartff@gmail.com FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File CustomCLSID: HKU\S-1-5-21-3408851026-3105934659-272300781-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\BHP\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-3408851026-3105934659-272300781-1001_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\BHP\AppData\Local\Temp\s13c.exe (World Elephantine) C:\MSDCSC C:\Program Files\Cyti Web C:\Program Files\globalUpdate C:\Program Files\Ge-Force C:\Program Files\Google C:\Program Files\pricechOp C:\Program Files\SupTab C:\Program Files\TheTorntv V10 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fraps C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon\Combat Arms EU.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\IePluginServices C:\ProgramData\McAfee Security Scan C:\Users\BHP\AppData\Local\CrashRpt C:\Users\BHP\AppData\Local\Google C:\Users\BHP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\CodeBlocks.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CodeBlocks C:\Users\BHP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portable Programs\More Portable Programs.lnk C:\Users\BHP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line C:\Users\BHP\AppData\Roaming\DIQRSUU C:\Users\BHP\AppData\Roaming\WY C:\Users\BHP\Desktop\Gry\League of Legends.lnk C:\Users\BHP\Desktop\Pulpit\City Bus Simulator.lnk C:\Users\BHP\Desktop\Pulpit\Sebastian\Combat Arms EU.lnk C:\Users\BHP\Desktop\Pulpit\Sebastian\McAfee Security Scan Plus.lnk C:\Users\BHP\Documents\MSDCSC C:\Users\BHP\Downloads\*(*)-dp*.exe C:\Users\BHP\Downloads\SpyHunter-Installer*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\msdownld.tmp C:\Windows\System32\drivers\{f69f75dd-7e74-4885-b8d1-87b7e0b79ccb}Gw.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{32148148} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\BHP\AppData\Local CMD: dir /a C:\Users\BHP\AppData\LocalLow CMD: dir /a C:\Users\BHP\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie Greasemonkey trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie jest sporo instalacji adware. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}w64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys [48776 2014-11-13] (StdLib) R1 {98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64; C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64.sys [48776 2014-11-10] (StdLib) R1 {98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64; C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys [48776 2014-11-11] (StdLib) R1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64; C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys [48776 2014-11-16] (StdLib) R2 70e6ca8c; c:\Program Files (x86)\Optimizer Pro\OptProCrash.dll [3111880 2014-11-10] () R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-12-31] () S2 McAfee SiteAdvisor Service; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [X] HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [146888 2014-11-04] (PC Utilities Software Limited) HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\...\Run: [LiveSupport] => C:\Program Files (x86)\LiveSupport\LiveSupport.exe [1005056 2014-03-18] (PC Utilities Software Limited) HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\...\Run: [AppsHat] => C:\Users\Alicja\AppData\Local\WebPlayer\AppsHat\WebPlayer.exe [202752 2012-10-26] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found Task: {0AD9B6CE-CA74-4AAA-8E88-BFA68F837D4B} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe [2014-11-10] (Lid) Task: {2005EB40-6176-47A3-B33F-8E4ED3C0DFF5} - System32\Tasks\EPUpdater => C:\Users\Alicja\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] () Task: {21E778B8-0B4C-4B70-B100-8F6342A8E7AF} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-1 => C:\Program Files (x86)\App Lid\App Lid-codedownloader.exe [2014-11-10] (Lid) Task: {3161B302-59A5-416B-A961-AC9F3E298F3A} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6.exe Task: {45889809-98A4-491C-8EE3-2F9FCE7619B3} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2.exe [2014-11-10] (Lid) Task: {46C8B80F-87F3-4AB0-938E-8231EA680717} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11.exe [2014-11-10] (Lid) Task: {4EC5A881-5069-41AA-9DA9-E1A746E2CC0C} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7.exe [2014-11-10] (Lid) Task: {55E0D972-3C14-48C3-A59D-0CB89562CC9E} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5_user => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe [2014-11-10] (Lid) Task: {8544F44C-9390-4863-98FE-02601E867F5A} - System32\Tasks\5a3baa7d-4f12-48f9-9ffc-c694880ae479 => C:\Program Files (x86)\App Lid\5a3baa7d-4f12-48f9-9ffc-c694880ae479.exe Task: {BBC84B7A-069C-49EF-A1D9-7AE5E64C2472} - System32\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4 => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4.exe [2014-11-10] (Lid) Task: {DC077C5C-2A88-4714-8E65-18C85300D730} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [2014-11-04] (PC Utilities Software Limited) Task: {DFAF8E2C-E583-4AAE-B3DB-1C6A4BA0C952} - System32\Tasks\8efda629-3ad5-4743-b000-193b5697f1d7 => C:\Program Files (x86)\App Lid\8efda629-3ad5-4743-b000-193b5697f1d7.exe Task: {EDEF2A7B-D278-4D74-8719-5B54B822A217} - System32\Tasks\FoxTab => C:\Users\Alicja\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {F2821868-356B-44CF-916F-350E1A911276} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: C:\Windows\Tasks\5a3baa7d-4f12-48f9-9ffc-c694880ae479.job => C:\Program Files (x86)\App Lid\5a3baa7d-4f12-48f9-9ffc-c694880ae479.exe Task: C:\Windows\Tasks\8efda629-3ad5-4743-b000-193b5697f1d7.job => C:\Program Files (x86)\App Lid\8efda629-3ad5-4743-b000-193b5697f1d7.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-1.job => C:\Program Files (x86)\App Lid\App Lid-codedownloader.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-11.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-2.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-4.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5_user.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-5.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-6.exe Task: C:\Windows\Tasks\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7.job => C:\Program Files (x86)\App Lid\ddc9ebde-354e-46c1-878c-1308dc9c8d67-7.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Alicja\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/p/?LinkId=255141 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://go.microsoft.com/fwlink/p/?LinkId=255141 HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.gazeta.pl/0,0.html?p156 HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=C82C90004EBFF1DF&affID=125032&tsp=5027 HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-1595141464-2085024051-1102803764-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=C82C90004EBFF1DF&affID=125032&tsp=5027 SearchScopes: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO: No Name -> {11111111-1111-1111-1111-110611571143} -> No File BHO: No Name -> {2ce74c72-e61e-4079-8381-49fd8c639620} -> No File BHO: TiiciTaCoouupon -> {6255d6a8-06f5-4647-99ca-37c182a7b0c0} -> C:\ProgramData\TiiciTaCoouupon\iavTlt4rSIyVZF.x64.dll () BHO: TicToACouupon -> {d9bfad73-03e6-4972-8019-35d692b1a671} -> C:\ProgramData\TicToACouupon\S7u1n0o1I1P6LP.x64.dll () BHO-x32: No Name -> {11111111-1111-1111-1111-110611571143} -> No File BHO-x32: No Name -> {2ce74c72-e61e-4079-8381-49fd8c639620} -> No File BHO-x32: searchgol Helper Object -> {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} -> C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD) BHO-x32: No Name -> {980b8a8f-ea0b-4c24-a2e9-70635e2502e9} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {00078E95-3A4A-4137-8DE7-2824908D1C17} - No File CustomCLSID: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Alicja\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Alicja\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1595141464-2085024051-1102803764-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Alicja\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\5cb00965956dab33 C:\ProgramData\6678848579293784883 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Program Files (x86)\App Lid C:\Program Files (x86)\Mozilla Firefox C:\Users\Alicja\AppData\Local\foxtab_speeddial.crx C:\Users\Alicja\AppData\Local\WebPlayer C:\Users\Alicja\AppData\Roaming\BabSolution C:\Users\Alicja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AppsHat C:\Users\Alicja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Alicja\Downloads\setup*.exe C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}w64.sys C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64.sys C:\Windows\System32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}w64.sys C:\Windows\System32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys CMD: for /d %f in (C:\Users\Alicja\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: AppsHat Mobile Apps, BitGuard, dealpeak, Foxtab, LiveSupport, LucKySHHoppper, Optimizer Pro v3.2, SalesChuecker, SaveItCoupons, saver box, Search-Gol Chrome Toolbar, TiiciTaCoouupon. Instalacja BitGuard jest uszkodzona, ale system powinien dać możliwość usunięcia wpisu z listy zainstalowanych. - Stare wersje: Adobe AIR, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X MUI, Bing Bar, Google Chrome, Java™ 6 Update 22 (64-bit), Java™ 6 Update 22. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 3. W tle działa instalacja McAfee Site Advisor, która wygląda jak niepoprawnie odinstalowana (brak wejścia deinstalacyjnego). Zastosuj usuwacz McAfee Consumer Product Removal Tool. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt,

Poprawki, punkty 2+3 przy wyłączonym COMODO: 1. Nadal widzę zbędnik GeekBuddy od COMODO. Czy program był deinstalowany? 2. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 3.6.8" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 18.0" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla\Mozilla Firefox 33.0.1" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {FD2235AE-D34F-4CD2-B393-D763A569ACA3} /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\user\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

SpyHunter to program wątpliwej reputacji, z czarnej listy. Stosuje taktykę "nacisku" (reklamowanie się jako usuwacz konkretnych infekcji), byle go zainstalować, a po instalacji wychodzi na jaw, że jest to program za który należy zapłacić, by mógł cokolwiek usunąć. Z daleka od tego "produktu". Wracając do problemu zasadniczego, działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [48784 2014-12-21] (StdLib) R1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [48784 2014-12-30] (StdLib) R1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64; C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys [48776 2014-12-03] (StdLib) R1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64; C:\Windows\System32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys [48784 2014-12-15] (StdLib) R1 {84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64; C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys [48784 2015-01-04] (StdLib) R1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64; C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys [48784 2015-01-06] (StdLib) R1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [48784 2014-12-28] (StdLib) R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64; C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys [48776 2014-12-01] (StdLib) R1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [48784 2014-12-18] (StdLib) R2 Update Hold Page; C:\Program Files (x86)\Hold Page\updateHoldPage.exe [529136 2015-01-07] () R2 Util Hold Page; C:\Program Files (x86)\Hold Page\bin\utilHoldPage.exe [529136 2015-01-07] () Task: {184B4C47-FF24-4F7C-8F92-F91488BD1FF4} - System32\Tasks\Yahoo! Search => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe [2015-01-07] (Pay By Ads LTD) Task: {4351D2E2-B783-40CB-962D-877C23883FB8} - System32\Tasks\Yahoo! Search Updater => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrsetup.exe [2015-01-07] (Pay By Ads LTD) HKU\S-1-5-21-33010299-566735224-18553354-1003\...\Run: [Yahoo! Search] => C:\Users\user\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe [634576 2015-01-07] (Pay By Ads LTD) HKLM\...\Run: [MfeEpePcMonitor] => "C:\Program Files\Hewlett-Packard\Drive Encryption\EpePcMonitor.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-33010299-566735224-18553354-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-33010299-566735224-18553354-1003 -> {DFE9D180-5155-46AA-B372-7D4A5B4C27EF} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=438 BHO-x32: Hold Page 1.0.0.6 -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> C:\Program Files (x86)\Hold Page\HoldPageBHO.dll (Hold Page) C:\Program Files\Enigma Software Group C:\Program Files\mks_vir_9 C:\Program Files (x86)\Mozilla Firefox C:\Users\user\AppData\Local\CrashRpt C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\user\AppData\Roaming\LavasoftStatistics C:\windows\BEAD140D65134B00AE0FD4A7222F0BF9.TMP C:\Windows\System32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys C:\Windows\System32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys C:\Windows\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}Gw64.sys C:\Windows\System32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys C:\Windows\System32\drivers\{84edc66f-0e16-4519-bd1a-cead01f243ac}Gw64.sys C:\Windows\System32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}Gw64.sys C:\Windows\System32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys C:\Windows\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}Gw64.sys C:\Windows\System32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Hold Page, Yahoo! Search - Stare wersje: Adobe Flash Player 11 ActiveX, Java 7 Update 40, Java™ 6 Update 25 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Hold Page (o ile nadal będzie widoczne po w/w deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są dwa konta: ========================= Accounts: ========================== user (S-1-5-21-33010299-566735224-18553354-1003 - Administrator - Enabled) => C:\Users\user USER_ (S-1-5-21-33010299-566735224-18553354-1002 - Administrator - Enabled) => C:\Users\USER_ Zostały dostarczone logi z konta "user", jednak każde konto musi być sprawdzone z osobna. Jeśli konto "USER_" jest używane, to zaloguj się po kolei na każde poprzez pełny restart systemu (a nie "Wyloguj" czy "Przełącz użytkownika") i na każdym zrób po dwa raporty FRST (główny + Addition). Jeśli konto "USER_" nie jest jednak używane, to je całkowicie usuń i dostarcz tylko logi z "user". Dołącz też plik fixlog.txt.

W podanych tu raportach widać jedynie szkodnika w Firefox - fałszywe rozszerzenie Premium Codec. Przeprowadź następujące operacje: 1. Odinstaluj: Adobe Flash Player 15 Plugin (stara wersja), Bing Bar (zbędnik), Spybot - Search & Destroy (zbędny i przestarzały). Najnowszą wersję Adobe Flash Player zamontujesz na końcu. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale wszystkie używane rozszerzenia zostaną usunięte. Potem uzupełnisz wybrane (i jeden konkretny Adblock, w chwili obecnej aż 5 różnych rozszerzeń). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-956293541-1469024210-4250759026-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-956293541-1469024210-4250759026-1002\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyPlayCity.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu! C:\ProgramData\Temp C:\Users\LaylaRose\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crimsonland.lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SOLDIERS.lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocksmith 2014\Rocksmith 2014 (Without Real Tone Cable).lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Search.lnk C:\Users\LaylaRose\AppData\Roaming\Microsoft\Windows\Start Menu\MyPlayCity Games.lnk C:\Users\LaylaRose\Desktop\Skróty\Crimsonland.lnk C:\Users\LaylaRose\Desktop\Skróty\Rocksmith 2014 (Without Real Tone Cable).lnk Hosts: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\syswow64\nvinit.dll" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Mobile Partner" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /v Default_Search_URL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{324609A7-6EBD-4C9D-A4F2-D9CDBB6721C8}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oeraz logi z katalogu C:\AdwCleaner (by było wiadome co robiono przez założeniem tematu).

Na temat używania ComboFix: KLIK. Jego log już zostaw, by było wiadome co robił. Proszę przeczytaj zasady działu: KLIK. Uzupełnij: opis problemu (w jakim celu logi) + wymagany zestaw obowiązkowych raportów (mają być dołączone jako pliki w załącznikach a nie wklejane w poście).

Komunikat Avast jest związany z tym, że w międzyczasie nastąpiły nowe niekorzystne zmiany i w Firefox zostało zainstalowane adware (DOwnSave + CoupExtension). Czy na pewno odinstalowałeś stary porzucony Google Desktop? Widzę stanowczo zbyt dużo jego elementów w nowym raporcie. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\GUM38FA.tmp CMD: del /q "C:\Program Files\GUT3949.tmp" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Operacje pomyślnie przeprowadzone. Jeszcze drobne poprawki przed zadaniem czynności końcowych. Do Notatnika wklej: HKU\S-1-5-21-29074177-2114273088-3454551869-225919\...\Run: [Akamai NetSession Interface] => "C:\Users\dkoloszc\AppData\Local\Akamai\netsession_win.exe" DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A95B20D-AC62-429B-80C4-8F7230A453FE}" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\dkoloszc\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

FRST się zatrzymał, gdyż na śmierć zapomniałam, że tworzenie punktu Przywracania systemu jest niemożliwe z poziomu Trybu awaryjnego. Działania poprawkowe: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Otsics] => C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\tmpD2.exe HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Ektion] => regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion\kbdcomex54.dll" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [YjPack] => C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\AcroIEHelperShim.DLL" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [ChromeUpdate] => C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate\ChromeUpdate.exe Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) BootExecute: autocheck autochk /k:C * S2 NOD32FiXTemDono; C:\WINDOWS\system32\regedt32.exe /s C:\WINDOWS\nod32fixtemdono.reg S2 SecurityCenterServer4196545509; "C:\WINDOWS\system32\deurge.exe" -service "C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro\googy.exe" S2 ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [X] U3 awdw3w0e; No ImagePath S0 Chl27; No ImagePath S3 ddxgb; \??\C:\DOCUME~1\Jarek\USTAWI~1\Temp\ddxgb.sys [X] S0 Hmq51; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 Video3D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79687185.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmq51.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79687185.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hmq51.sys => ""="Driver" Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKU\S-1-5-21-1417001333-746137067-839522115-1004 - (No Name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No File Toolbar: HKU\.DEFAULT -> No Name - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No File Toolbar: HKLM - @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6835F21B-AD12-485C-A8FD-D7DF60C72A69}\InprocServer32 -> wbocx32.ocx No File CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6AC91CBD-DB47-406A-AF60-90F8150FA5B8}\InprocServer32 -> wbocx32.ocx No File FF Plugin: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No File FF Plugin: @videolan.org/vlc,version=0.8.6h -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\Mozilla Thunderbird C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure C:\Documents and Settings\All Users\Dane aplikacji\PPLive C:\Documents and Settings\All Users\Dane aplikacji\SecuriSoft SARL C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\Jarek\Dane aplikacji\*.exe C:\Documents and Settings\Jarek\Dane aplikacji\.BitTornado C:\Documents and Settings\Jarek\Dane aplikacji\addpcs C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro C:\Documents and Settings\Jarek\Dane aplikacji\atube C:\Documents and Settings\Jarek\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Jarek\Dane aplikacji\DMCache C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate C:\Documents and Settings\Jarek\Dane aplikacji\iliveto C:\Documents and Settings\Jarek\Dane aplikacji\Moyea C:\Documents and Settings\Jarek\Dane aplikacji\Opera Software C:\Documents and Settings\Jarek\Dane aplikacji\PPLive C:\Documents and Settings\Jarek\Dane aplikacji\Publish Providers C:\Documents and Settings\Jarek\Dane aplikacji\Warez C:\Documents and Settings\Jarek\Dane aplikacji\WebCompiler3 C:\Documents and Settings\Jarek\Dane aplikacji\Xi C:\Documents and Settings\Jarek\Dane aplikacji\Ylgyas C:\Documents and Settings\Jarek\Dane aplikacji\Yzwexupa C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\DAEMON Tools Pro.lnk C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\YASU.exe.lnk C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\~wmrg C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics C:\Program Files\Java C:\Program Files\Common Files\Java C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\deurge.exe C:\WINDOWS\system32\klogon.dll Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultName /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultURL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: dir /a "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a C:\WINDOWS\$NtUninstallKB34492$ EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. Zamiennie sprawdź czy ponownie uruchomiony TDSSKiller widzi coś.

Deinstalacja emulatorów ma znaczenie dla wyglądu skanu GMER, odczyt pozostałych narzędzi nie jest fałszowany. DAEMON Tools Lite ma własny sterownik usuwany wraz z deinstalacją, stąd też SPTDInst nie wykrył nic. Z raportu FRST: R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [232512 2011-10-29] (DT Soft Ltd) Są ogólnie aktywne instalacje adware. Przeglądarka Google Chrome jest też zainfekowana indywidualnie adware DoigiCCoupoon i Happy2Save, a co więcej została przetransformowana z wersji stabilnej do developerskiej. Konieczna kompleksowa reinstalacja. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: Click Caption 1.10.0.4, Ciuvo, DealPly, FoxTab FLV Player, GadgetBox Expansion. - Stare wersje i poszkodowaną przeglądarkę: Adobe Flash Player 15 ActiveX, Gadu-Gadu 10, Google Chrome, Google Desktop, Java™ 6 Update 4, OpenOffice.org 3.4.1. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com URLSearchHook: HKU\S-1-5-21-1143488406-1009695696-969558362-1000 - (No Name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1143488406-1009695696-969558362-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Boss\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKU\S-1-5-21-1143488406-1009695696-969558362-1000\...\SeaMonkey\Extensions: [mozilla_cc@internetdownloadmanager.com] - C:\Users\Boss\AppData\Roaming\IDM\idmmzcc5 Task: {672B2C66-A9CC-4FC4-B739-2A450415F342} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-12-26] (Google Inc.) Task: {B92E3399-CF9D-40E4-8556-1414A45F39CD} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2011-12-26] (Google Inc.) HKU\S-1-5-21-1143488406-1009695696-969558362-1000\...\Run: [vmreg] => C:\Users\Boss\AppData\Roaming\vmreg.exe HKU\S-1-5-21-1143488406-1009695696-969558362-1000\...\RunOnce: [Adobe Speed Launcher] => 1419758942 BootExecute: autocheck autochk /p \??\E:autocheck autochk * C:\ProgramData\cmjhlmenjbmblfpekalbojkahmacgejo C:\ProgramData\iooaaifkhejokedmcodjllohnlomfnlf C:\ProgramData\InstallMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer GameZone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Users\Boss\AppData\Local\Google\Chrome C:\Users\Boss\AppData\Roaming\appdataFr2.bin C:\Users\Boss\AppData\Roaming\ProgSense C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager C:\Users\Boss\Documents\YTD Video Downloader.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

vs. W skrypcie FRST to dopiero były o niej wyciągane dane. Opera jest zainfekowana adware: Kolejne działania: 1. Otwórz Notatnik i wklej w nim: C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. W Operze CTRL+SHIFT+E i odinstaluj adware GoHD na liście rozszerzeń. Wyczyść też cache i historię przeglądarki. Wypowiedz się czy problem z głowy.

Poprzednie zadania wykonane. Zostały poprawki (podane poniżej). Natomiast tu jest dodatkowy problem ze strukturą plików na dysku (być może i z dyskiem jako takim), zobrazowany jako powielenia katalogów / tworzenie ich kopii. Na razie dokończ sprzątanie: NA KONCIE STANISŁAW: 1. Kolejne deinstalacje: - Przez Dodaj/Usuń programy: Spelling Dictionaries Support For Adobe Reader 9 (jakoś go pominęłam). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej 2. Otwórz Notatnik i wklej w nim: DisableService: sptd S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] HKLM\...\Run: [rec_pl_1] => [X] HKLM\...\Run: [rec_pl_2] => [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab Task: C:\WINDOWS.1\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS.1\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Adobe C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\OpenOffice.org 3.0 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Mozilla C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\GRAŻKA\Dane aplikacji\Mozilla C:\Documents and Settings\GRAŻKA\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Adobe C:\Program Files\ClickCaption_1.10.0.4 C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Java C:\Program Files\gmsd_pl_8 C:\Program Files\Java C:\Program Files\Mozilla Firefox C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Program Files\predm C:\WINDOWS.1\system32\Adobe C:\WINDOWS.1\system32\Macromed Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. NA KONCIE GRAŻKA: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2052111302-920026266-1177238915-1012\...\Run: [H/PC Connection Agent] => "C:\Microsoft ActiveSync\wcescomm.exe" HKU\S-1-5-21-2052111302-920026266-1177238915-1012\...\Run: [iSUSPM] => -scheduler ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> No Name - {64D23501-5195-4224-9446-E2B0FB64E859} - No File Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1012 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Są tu dwa problemy: - Adware produkujące reklamy. Adware może okazać się rzeczą podrządną: - Uszkodzony układ Usług kryptograficznych. Wszystkie usługi / sterowniki Microsoftu mają odczyt [File not signed] (brak podpisu cyfrowego). Oznacza to uszkodzenie jednej z baz: catroot lub catroot2. Druga usterka ma priorytet, usuwanie adware nie ma sensu gdy jest uszkodzony Windows, jest nie wiadome czy da się to naprawić bez reinstalacji systemu (zależy gdzie jest usterka). Wstępnie: 1. Upewnij się, że nie masz zainstalowanej wadliwej łaty KB3004394. Zastosuj po prostu "instalator" KB3024777, który ma ją usuwać: KLIK. 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Zresetuj komputer. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Mój skrypt usuwał wszystko na raz: wpis produkujący błąd, wszystkie przekierowania adware oraz inne rzeczy. Przeprowadzone działania zastępcze nie zrobiły wszystkiego co zaplanowałam. Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 ElRawDisk; \??\C:\Windows\system32\drivers\rsdrvx64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Task: {8AD4C0C5-A4BB-44E4-85D1-3737047DC28D} - System32\Tasks\{ACA4A858-16A6-47DB-8CDA-86B66BD22196} => pcalua.exe -a F:\SETUP.EXE -d F:\ HKLM-x32\...\Run: [DXM6Patch_981116] => C:\Windows\p_981116.exe /Q:A HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoFolderOptions] 0 HKU\S-1-5-21-1264171829-1937904821-877429023-1001\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1264171829-1937904821-877429023-1001 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Justyna\AppData\Roaming\Mozilla\Firefox\Profiles\ul984mml.default\extensions\detgdp@gmail.com C:\ProgramData\Temp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie nadal są obiekty adware, w tym czynny proces o negatywnym działaniu. Ponadto, Google Chrome do reinstalacji od zera, gdyż adware zmieniło typ przeglądarki ze stabilnej do development i wstawiło śmieci. Logi nie prezentują niestety preferencji Opery (tu domyślna przeglądarka), ale pobiorę o niej dane ręcznie. Wdróż następujące działania: 1. Odinstaluj Adobe Flash Player 15 Plugin, Adobe Shockwave Player 11.6, Google Chrome. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: R2 MaintainerSvc6.37.565328; C:\ProgramData\7bb6df21-8ca8-4eec-965d-8cd2261544c7\maintainer.exe [123632 2015-01-06] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X] S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X] S3 BTATH_BUS; \SystemRoot\System32\drivers\btath_bus.sys [X] S3 BTATH_HCRP; \SystemRoot\System32\drivers\btath_hcrp.sys [X] S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X] HKLM-x32\...\Run: [fst_pl_142] => [X] HKLM-x32\...\Run: [AnyProtect Tray] => "C:\Program Files (x86)\AnyProtectEx\AnyProtectTrayIcon.exe" HKLM-x32\...\Run: [t4pc_en_7] => [X] HKLM-x32\...\Run: [FromDocToPDF EPM Support] => "C:\PROGRA~2\FROMDO~1\bar\1.bin\65medint.exe" T8EPMSUP.DLL,S HKLM-x32\...\Run: [FromDocToPDF AppIntegrator 32-bit] => C:\PROGRA~2\FROMDO~1\bar\1.bin\AppIntegrator.exe HKLM-x32\...\Run: [FromDocToPDF AppIntegrator 64-bit] => C:\PROGRA~2\FROMDO~1\bar\1.bin\AppIntegrator64.exe HKLM-x32\...\Run: [gmsd_pl_15] => [X] Task: {189B681F-F6FE-466F-83C7-477EC5E6B05D} - System32\Tasks\{78CDE768-7897-484E-AB9A-4A68D55BBA12} => pcalua.exe -a C:\Users\Jolanta1212\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {682E1735-FD9A-4CE3-A350-BAFEC7E64369} - System32\Tasks\Microsoft\Windows\RVLKL\RVLKL => C:\ProgramData\rvlkl\rvlkl.exe Task: {9BD26486-7986-4EF0-8CBF-637F2A25461B} - System32\Tasks\MirageAgent => C:\Program Files (x86)\CyberLink\YouCam\YCMMirage.exe Task: {A49BF3F7-9A77-49C3-A571-5F49B97B8EAA} - System32\Tasks\Voo Update => C:\Users\Jolanta1212\AppData\Roaming\VooUpdate\UpdateProc\UpdateTask.exe [2015-01-02] () Task: {CF1ECF34-719F-418F-8066-A4AE3E997247} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E8B58DBA-F2C1-432F-A1B7-D89C08BBDE4B} - System32\Tasks\{B70FA807-84B3-445C-87CC-118609342C94} => pcalua.exe -a C:\Users\Jolanta1212\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {F9A9A84E-FEFC-46FC-8A9B-29FF11802C6C} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Voo Update.job => C:\Users\JOLANT~1\AppData\Roaming\VOOUPD~1\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-176996462-1297743350-943370258-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-176996462-1297743350-943370258-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear Toolbar: HKU\S-1-5-21-176996462-1297743350-943370258-1002 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File C:\Program Files (x86)\06e216f5-6b65-4b5f-ba44-e32635c73cb9 C:\Program Files (x86)\AVG C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\7bb6df21-8ca8-4eec-965d-8cd2261544c7 C:\ProgramData\AVG C:\Users\Administrator C:\Users\Gość C:\Users\Jolanta1212\AppData\Local\nsx1666.tmp C:\Users\Jolanta1212\AppData\Local\Avg C:\Users\Jolanta1212\AppData\Local\Comodo C:\Users\Jolanta1212\AppData\Local\Google C:\Users\Jolanta1212\AppData\Roaming\AVG C:\Users\Jolanta1212\AppData\Roaming\IHlpr C:\Users\Jolanta1212\AppData\Roaming\VooUpdate C:\Users\Jolanta1212\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Jolanta1212\Desktop\Sterowniki\AVG Konserwacja 1 kliknięciem.lnk C:\Users\Jolanta1212\Desktop\Sterowniki\AVG PC TuneUp 2015.lnk C:\Users\Jolanta1212\Downloads\*downloader*.exe C:\WINDOWS\patsearch.bin Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Jolanta1212\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Tak, kontynuujesz zgodnie z planem.

Fix wykonany. Na koniec: Usuń pobrany FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz porównaj co wymaga aktualizacji: KLIK.

Spróbuj w Trybie awaryjnym wersji okrojonej: Task: C:\WINDOWS.1\Tasks\BlockAndSurf Update.job => C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed] S2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [X] S2 Update DigiHelp; "C:\Program Files\DigiHelp\updateDigiHelp.exe" [X] S1 ASPI32; No ImagePath S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X] S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X] S1 netfilter; system32\drivers\netfilter.sys [X] S2 npf; system32\drivers\npf.sys [X] HKLM\...\Run: [adblock pro] => C:\Adblock Pro\abpmain.exe [372736 2010-06-28] (Adblock Pro Team) HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe HKLM\...\Run: [gmsd_pl_8] => [X] HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] () HKLM\...\Run: [rec_pl_2] => C:\Program Files\rec_pl_2\rec_pl_2.exe [3979432 2014-12-24] () HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff c:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\Picasa 3 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Opera Software C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\CouponMonkey C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD C:\Program Files\DigiHelp C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Folder: C:\WINDOWS.1\system32\dwjobs Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reboot:

Jest tu ogromna ilość instalacji adware, wiele z nich stare i w systemie raczęj grzeją już spory czas. Wstępne działania: 1. Przez Panel sterowania odinstaluj: - Adware: HDvid Codec V1, Internet Explorer Toolbar 4.6 by SweetPacks, Photoscape Packages, SiteFinder, Windows Media Player 11 Packages, Yontoo 1.10.02. - Stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.9), Adobe Shockwave Player 11.6, Akamai NetSession Interface, Java™ 6 Update 31, OpenOffice.org 2.4 (nie umie korzystać z nowszej Java). Nic na razie nie instaluj, najnowsze wersje na szarym końcu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Run: [gmsd_pl_16] => [X] HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\...\Run: [] => [X] HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Dominik\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\...\Policies\Explorer: [HideSCAHealth] 1 IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\safetynut\x64\safetycrt.dll S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-09-25] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-09-25] (BonanzaDeals) R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED) S4 rqpbhevlkc32; C:\Program Files\004\rqpbhevlkc32.exe [543232 2014-06-10] () [File not signed] S2 savesenselive; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-13] (SaveSense) S3 savesenselivem; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-13] (SaveSense) S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S1 MpKsl13a62a37; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{35BA8387-C265-47B5-8930-D45B408C9DBB}\MpKsl13a62a37.sys [X] S1 netfilter; system32\drivers\netfilter.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X] S3 XDva401; \??\C:\Windows\system32\XDva401.sys [X] S3 XDva402; \??\C:\Windows\system32\XDva402.sys [X] S3 XDva409; \??\C:\Windows\system32\XDva409.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {01C4E655-24EF-4262-842E-908A4095A613} - System32\Tasks\DealPly => C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-04-23] () Task: {2EAD9E21-1875-4786-9D2F-54F692B759F7} - System32\Tasks\EPUpdater => C:\Users\Dominik\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {4053F668-3EC6-4036-9637-2E79A6C95617} - System32\Tasks\GoodGameEmpire W1 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {5A3ED164-A29F-4698-B7F6-D534FB816E7A} - System32\Tasks\task358833 => C:\Windows\Temp\_ex-08.exe Task: {62E4808D-C63B-4C0A-B621-B42DBE028A58} - \systems No Task File Task: {6E042961-23D9-4FD5-BC83-41FD93DC2150} - System32\Tasks\GoodGameEmpire W2 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {77930916-DC41-4D13-91D7-3C2D5FCD42E7} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-02-13] (SaveSense) Task: {8576AD86-5029-43F2-8C67-B1F41116F93B} - System32\Tasks\GoodGameEmpire NextW1 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {AA1B585A-F14A-42BF-91F1-DEC9DF5CDB85} - \fbagent No Task File Task: {AA3D7EEB-7C06-4283-AAB9-36511726160C} - System32\Tasks\{00E2789E-2120-4C0A-B516-7D5841DE9AAF} => pcalua.exe -a "C:\Program Files\CAPCOM\Devil May Cry 3 Edycja Specjalna\uninstall.exe" -d "C:\Program Files\CAPCOM\Devil May Cry 3 Edycja Specjalna" Task: {B5E62214-A5F9-4E42-964B-3890A7CDEC92} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files\IObit\Game Booster 3\AutoUpdate.exe Task: {B94EFB4F-3084-45D3-89AA-A84C90420EDE} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-09-25] (BonanzaDeals) Task: {B9ADAE2A-425D-42DB-84FA-F0CB7A00DB38} - System32\Tasks\GoodGameEmpire NextW2 => Chrome.exe --app=http://a2g-secure.com/?E=bwsPamg0MAiwFF%2bnM1a0Fg%3d%3d&s1= --app-window-size=1280,1024 Task: {C174EEE4-8B17-43CC-A512-81BC7E0FF118} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [2014-02-13] (SaveSense) Task: {DE2E9F63-9081-45AC-B045-5C725B4BC358} - System32\Tasks\{778FC7CC-15CA-4C08-B6C4-DCEAE647707C} => pcalua.exe -a "C:\Deluxe Ski Jump 3\Setup.exe" -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deluxe Ski Jump 3" Task: {E0DE6DAF-CEEB-42D4-A022-BC1D31AF5728} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-09-25] (BonanzaDeals) Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe Task: C:\Windows\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\Desktop\Ie.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\Desktop\ww.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 ShortcutWithArgument: C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKLM -> {575B1647-F599-45FB-92FA-158AA62F3396} URL = http://startsear.ch/?aff=2&src=sp&cf=d19cadc4-236d-11e1-b919-001a4d5231a0&q={searchTerms} SearchScopes: HKLM -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={CD349B77-016D-4F1D-B17B-C1EA361EE6EA} SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248&q={searchTerms} SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> {575B1647-F599-45FB-92FA-158AA62F3396} URL = http://startsear.ch/?aff=2&src=sp&cf=d19cadc4-236d-11e1-b919-001a4d5231a0&q={searchTerms} SearchScopes: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={CD349B77-016D-4F1D-B17B-C1EA361EE6EA} BHO: HDvid Codec V1 -> {11111111-1111-1111-1111-110311431162} -> C:\Program Files\HDvid Codec V1\HDvid Codec V1-bho.dll (installdaddy) BHO: SweetPacks Browser Helper -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) BHO: Yontoo -> {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} -> C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC) Toolbar: HKLM - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKLM - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKLM - SiteFinder - {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files\SiteFinder\SiteFinder.dll (Site Finder) Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKU\S-1-5-21-2109998537-1096708334-3085003647-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File CHR StartupUrls: Default -> "hxxp://www.trovi.com/?gd=&ctid=CT3322197&octid=EB_ORIGINAL_CTID&ISID=M2AFC0F76-707D-477D-94B3-9083CFF0F7CC&SearchSource=55&CUI=&UM=8&UP=SP6DC3A597-E075-4BA6-8DA0-2789E522E7E2&SSPV=" CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1419851507&from=wpm12262&uid=SAMSUNGXHD161HJ_S0V3J9CP931248 FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 -> C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 -> C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin: @tools.updaterss.com/SaveSenseLive Update;version=3 -> C:\Program Files\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF Plugin: @tools.updaterss.com/SaveSenseLive Update;version=9 -> C:\Program Files\SaveSenseLive\Update\1.3.23.0\npGoogleUpdate3.dll (SaveSense) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKU\S-1-5-21-2109998537-1096708334-3085003647-1000\Software\Classes\.exe: exefile => AlternateDataStreams: C:\Users\Dominik\Dane aplikacji:NT AlternateDataStreams: C:\Users\Dominik\AppData\Roaming:NT C:\END C:\Program Files\004 C:\Program Files\BonanzaDealsLive C:\Program Files\globalUpdate C:\Program Files\gmsd_pl_16 C:\Program Files\Gophoto.it C:\Program Files\HDvid Codec V1 C:\Program Files\HDvidCodec.com C:\Program Files\predm C:\Program Files\SaveSenseLive C:\Program Files\SiteFinder C:\Program Files\SweetIM C:\Program Files\WinZipper C:\Program Files\Yontoo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Finder C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\Users\Dominik\AppData\Local\{*} C:\Users\Dominik\AppData\Local\RealSummerSale.crx C:\Users\Dominik\AppData\Local\CrashRpt C:\Users\Dominik\AppData\Local\GGEmpire C:\Users\Dominik\AppData\Local\globalUpdate C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\Dominik\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Dominik\AppData\Roaming\BabMaint.exe C:\Users\Dominik\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Dominik\AppData\Roaming\0I0M0D1F2W1G1I1F1T1Q1P1C C:\Users\Dominik\AppData\Roaming\Ask.com C:\Users\Dominik\AppData\Roaming\BabSolution C:\Users\Dominik\AppData\Roaming\Babylon C:\Users\Dominik\AppData\Roaming\DealPly C:\Users\Dominik\AppData\Roaming\dlg C:\Users\Dominik\AppData\Roaming\DSite C:\Users\Dominik\AppData\Roaming\DVDVideoSoft C:\Users\Dominik\AppData\Roaming\DVDVideoSoftIEHelpers C:\Users\Dominik\AppData\Roaming\GGEmpire441 C:\Users\Dominik\AppData\Roaming\HoolappForAndroid C:\Users\Dominik\AppData\Roaming\Media Finder C:\Users\Dominik\AppData\Roaming\Mipony C:\Users\Dominik\AppData\Roaming\OpenCandy C:\Users\Dominik\AppData\Roaming\Opera C:\Users\Dominik\AppData\Roaming\PerformerSoft C:\Users\Dominik\AppData\Roaming\rmi C:\Users\Dominik\AppData\Roaming\SaveSense C:\Users\Dominik\AppData\Roaming\SimilarSites C:\Users\Dominik\AppData\Roaming\Solvusoft C:\Users\Dominik\AppData\Roaming\systweak C:\Users\Dominik\AppData\Roaming\TMNT C:\Users\Dominik\AppData\Roaming\WinZipper C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GoodGameEmpire.lnk C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\hdvidcodec.com C:\Users\Dominik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense C:\Users\Dominik\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\Dominik\Desktop\Niepotwierdzony*.crdownload C:\Users\Public\Documents\ShopperPro C:\Users\Dominik\Downloads\*Downloader*.exe c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\Drivers\SPPD.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg; reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCC7B152-1D8C-11E3-B2AD-F3EF3D58318D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dominik\AppData\Local CMD: dir /a C:\Users\Dominik\AppData\LocalLow CMD: dir /a C:\Users\Dominik\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Zostawiam tylko jeden komplet logów. Sprawa nie jest rozwiązana, nadal dużo obiektów adware. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS.1\Tasks\BlockAndSurf Update.job => C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\WINDOWS.1\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe R1 ccnfd_1_10_0_4; C:\WINDOWS.1\System32\drivers\ccnfd_1_10_0_4.sys [52728 2014-12-04] (ClickCaption) R2 ccsvc_1.10.0.4; C:\Program Files\ClickCaption_1.10.0.4\Service\ccsvc.exe [277584 2014-12-04] (ClickCaption) S2 CouponMonkeyService; C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD\auhhlzqovx.exe [150528 2014-11-26] () [File not signed] S2 serverca; C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\ConvertAd\CASrv.exe [X] S2 Update DigiHelp; "C:\Program Files\DigiHelp\updateDigiHelp.exe" [X] S1 ASPI32; No ImagePath S3 GarenaPEngine; \??\C:\DOCUME~1\TOMASZ\USTAWI~1\Temp\OGHC9.tmp [X] S3 GGSAFERDriver; \??\C:\Garena\plugins\UI\safedrv.sys [X] S1 netfilter; system32\drivers\netfilter.sys [X] S2 npf; system32\drivers\npf.sys [X] HKLM\...\Run: [adblock pro] => C:\Adblock Pro\abpmain.exe [372736 2010-06-28] (Adblock Pro Team) HKLM\...\Run: [ADSTOP] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Pulpit\ADSTOP.exe HKLM\...\Run: [gmsd_pl_8] => [X] HKLM\...\Run: [upgmsd_pl_8.exe] => C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\gmsd_pl_8\upgmsd_pl_8.exe -runhelper HKLM\...\Run: [rec_pl_1] => C:\Program Files\rec_pl_1\rec_pl_1.exe [3977384 2014-12-16] () HKLM\...\Run: [rec_pl_2] => C:\Program Files\rec_pl_2\rec_pl_2.exe [3979432 2014-12-24] () HKU\S-1-5-21-2052111302-920026266-1177238915-1004\...\Run: [softonicAssistant] => "C:\Documents and Settings\STANISAAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: BitComet Helper -> {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} -> C:\Documents and Settings\TOMASZ\Pulpit\Konrad\BitComet\tools\BitCometBHO_1.2.2.28.dll No File BHO: Max EN Toolbar -> {867dd841-5bf7-44ca-8426-c5a6eda00735} -> C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) BHO: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - Max EN Toolbar - {867dd841-5bf7-44ca-8426-c5a6eda00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) Toolbar: HKU\S-1-5-21-2052111302-920026266-1177238915-1004 -> Max EN Toolbar - {867DD841-5BF7-44CA-8426-C5A6EDA00735} - C:\Program Files\Max_EN\tbMax_.dll (Conduit Ltd.) DPF: {00000161-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/msaudio.cab DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff c:\Documents and Settings\All Users.WINDOWS.1\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS.1\Menu Start\Programy\Picasa 3 C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Dane aplikacji\Opera Software C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\CouponMonkey C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD C:\Program Files\DigiHelp C:\WINDOWS.1\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Folder: C:\WINDOWS.1\system32\dwjobs Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: Click Caption 1.10.0.4, Games-desktop 008.1, Games-desktop 008.2, Max_EN Toolbar, Softonic Assistant. - Stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader XI (11.0.08) - Polish, Adobe Shockwave Player 11.5, AutoUpdate, Gadu-Gadu 10, Google Chrome, Java™ 6 Update 22, Mozilla Firefox 14.0.1 (x86 pl), OpenOffice.org 3.0. Przy deinstalacji przeglądarek zaznacz opcję usuwania danych użytkownika. I co uznasz jeszcze za stosowne. 3. AdwCleaner błędnie naprawił skrót IE: Shortcut: C:\Documents and Settings\STANISŁAW SKRZYPCZAK\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) Przejdź do pokazanej powyżej ścieżki "Narzędzia systemowe". Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Po kolei loguj się na konta STANISŁAW i GRAŻKA poprzez pełny restart komputera (a nie opcje Wyloguj czy Przełącz użytkownika). Na każdym zrób po dwa logi FRST, tzn. Główny + Addition (Shortcut już nie jest potrzebny). Dołącz też plik fixlog.txt.

Nie. Podałam tylko informację o co chodzi, który element tworzy problem. Rozszerzenie usunął reset Firefox. Ogólnie wszystko zrobione. Ostatni skrypt do FRST: HKU\S-1-5-21-1441841916-1275126410-3063703315-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Mikus\AppData\Local\Akamai\netsession_win.exe" FF Plugin: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) C:\Windows\system32\deployJava1.dll C:\Program Files\OpenOffice.org 3 C:\Program Files\Opera C:\Users\Mikus\AppData\Local\Opera C:\Users\Mikus\AppData\Roaming\Opera RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Mikus\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Mikus\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Bitcoin Miner usunięty. Niestety nie kończymy, w międzyczasie nabawiłeś się adware (omiga-plus.com i toolbar), na jeden z tych sposobów: KLIK. Kolejna porcja czynności: 1. Odinstaluj DAEMON Tools Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-02] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420197265&from=cor&uid=WDCXWD5000BPKT-22PK4T0_WD-WX51A71N2517N2517&q={searchTerms} C:\Program Files (x86)\DAEMON Tools Toolbar C:\ProgramData\WindowsMangerProtect Folder: C:\Users\Puderniczek\AppData\Local\THQ EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj "Usuń"). Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt i log z AdwCleaner.