picasso

Temat przenoszę do działu diagnostyki malware. Proszę dostarcz obowiązkowe logi: KLIK.

W związku z tym będzie usuwanie siłowe. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Update ace race; C:\Program Files (x86)\ace race\updateacerace.exe [524528 2015-01-05] () R2 Util ace race; C:\Program Files (x86)\ace race\bin\utilacerace.exe [524528 2015-01-05] () BHO-x32: ace race 1.0.0.6 -> {68182220-3c75-49d9-a9c4-4093d3986279} -> C:\Program Files (x86)\ace race\aceracebho.dll (ace race) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\ace race C:\Program Files (x86)\Opera C:\Program Files (x86)\XTab C:\Users\Kaja\AppData\Local\SlimWare Utilities Inc Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ace race" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpienia adresu isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Winsock naprawiony, toteż pojawił się dostęp do internetu. Na razie wstrzymaj się z aktualizacjami Windows, a tym bardziej ponowną instalacją Bitdefender. Musimy dokończyć czyszczenie. Nie jest też wiadome czy ten Bitdefender w ogóle tu gra z systemem, może po jego powrocie znów zamuli wszystko. O tym się przekonasz potem. W tym przypadku wyniki SFC nie mają znaczenia, nie są to rzeczywiste błędy (system je zresztą naprawia "w kółko"). Ten "defekt" opisany jest w tym artykule Microsoftu: KB947595. 2015-01-03 18:29:45, Info CSI 0000021a [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-01-03 18:29:45, Info CSI 0000021c [sR] Cannot repair member file [l:24{12}]"settings.ini" of Microsoft-Windows-Sidebar, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch 2015-01-03 18:29:45, Info CSI 0000021d [sR] This component was referenced by [l:158{79}]"Package_16_for_KB948465~31bf3856ad364e35~x86~~6.0.1.18005.948465-49_neutral_GDR" Skan FRST nie wykazuje, by były jakiekolwiek fitry na urządzeniach CD/DVD. Natomiast po naprawie Winsock było możliwe podejrzenie Dziennika zdarzeń i w nim stał poniższy błąd sterownika SPTD (od emulacji napędów wirtualnych), który to sterownik może negatywnie wpływać na funkcjonowanie urządzeń. Sterownik ten już wyłączyłam i w kolejnym podejściu będzie usuwany na dobre. Tak więc czy w chwili obecnej na pewno są nadal problemy z napędem CD/DVD? System errors: ============= Error: (01/05/2015 08:24:12 PM) (Source: sptd) (EventID: 4) (User: ) Description: Sterownik wykrył błąd wewnętrzny w swoich strukturach danych dla . Kolejna porcja działań poprawkowych: 1. Przegapiłam deinstalację starej wersji Adobe Shockwave Player. 2. Otwórz Notatnik i wklej w nim: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\subscription") Set obj1 = objWMIService.Get("__EventFilter.Name='BVTFilter'") set obj2set = obj1.Associators_("__FilterToConsumerBinding") set obj3set = obj1.References_("__FilterToConsumerBinding") For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_ next For each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_ next WScript.echo "Deleting the object" WScript.echo obj1.GetObjectText_ obj1.Delete_ Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.VBS Plik umieść na Pulpicie. 3. Otwórz Notatnik i wklej w nim: R2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [129992 2008-02-03] (EasyBits Sofware AS) [File not signed] S4 sptd; C:\Windows\System32\Drivers\sptd.sys [320120 2015-01-05] (Duplex Secure Ltd.) HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). HKU\S-1-5-18\...\Run: [Agent Portfela Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [Agent aplikacji Portfel Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender\bdapppassmgr.exe" Task: {60075B96-E3CE-4E0A-ADE9-650778797E24} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.6.0_07\bin\jp2ssv.dll No File FF Plugin: @java.com/DTPlugin,version=11.5.2 -> C:\Program Files\Java\jre8\bin\dtplugin\npDeployJava1.dll No File AlternateDataStreams: C:\Users\Madga\Downloads\bitdefender_ts.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\Firefox Setup Stub 30.0.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\iTunesSetup(2).exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\jdk-8u5-windows-i586.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\MicrosoftFixit.dvd.Run.exe:BDU AlternateDataStreams: C:\Users\Madga\Downloads\sp41377.exe:BDU C:\Program Files\Adobe C:\Program Files\Bitdefender C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Bitdefender C:\Program Files\ESET C:\Program Files\Java C:\Program Files\OpenOffice.org 3 C:\ProgramData\*.bdinstall.bin C:\ProgramData\Adobe C:\ProgramData\Bitdefender C:\ProgramData\HitmanPro C:\ProgramData\Malwarebytes C:\ProgramData\RogueKiller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.0 C:\Users\Madga\AppData\Local\Adobe C:\Users\Madga\AppData\Roaming\Bitdefender C:\Users\Madga\AppData\Roaming\Malwarebytes C:\Users\Madga\AppData\Roaming\QuickScan C:\Windows\System32\ezsvc7.dll C:\Windows\system32\Drivers\hitmanpro37.sys C:\Windows\system32\Drivers\iavtnu.sys C:\Windows\System32\Drivers\sptd.sys C:\Windows\system32\Drivers\TrueSight.sys C:\Windows\system32\Adobe C:\Windows\system32\Macromed\Flash Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\HWDeviceService.exe" /f CMD: C:\Users\Madga\Desktop\FIX.VBS EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Zasadniczy problem nie wynika z infekcji lecz modyfikacji Classic Style UI zmieniającej interfejs na klasyczny. Wpis alternatywnej powłoki generuje liczne błędy w Dzienniku zdarzeń. Identyczny problem w tym temacie: KLIK. HKU\S-1-5-21-2354558839-626714277-1970587182-1001\...\Winlogon: [shell] C:\explorer\explorer.exe [2872320 2012-09-06] (Microsoft Corporation) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Classic Style UI.lnk -> C:\explorer\7UI\7UI.exe () Application errors: ================== Error: (01/05/2015 07:33:25 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.3.9600.17284, sygnatura czasowa: 0x53f816dc Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eebf2e Kod wyjątku: 0xc000041d Przesunięcie błędu: 0x000000000000606c Identyfikator procesu powodującego błąd: 0x10fc Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Pełna nazwa pakietu powodującego błąd: explorer.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: explorer.exe5 Error: (01/05/2015 07:25:23 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: explorer.exe, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7a144 Nazwa modułu powodującego błąd: explorer.DLL, wersja: 6.3.9600.17278, sygnatura czasowa: 0x53eebd22 Kod wyjątku: 0xc0000142 Przesunięcie błędu: 0x00000000000ec0b4 Identyfikator procesu powodującego błąd: 0x18f4 Godzina uruchomienia aplikacji powodującej błąd: 0xexplorer.exe0 Ścieżka aplikacji powodującej błąd: explorer.exe1 Ścieżka modułu powodującego błąd: explorer.exe2 Identyfikator raportu: explorer.exe3 Pełna nazwa pakietu powodującego błąd: explorer.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: explorer.exe5 To problem główny. Poboczne problemy to zainstalowane adware (możliwe że działa od dawna, gdyż są raczej stare obiekty), ale to nie są sprawy ze sobą powiązane. Do wdrożenia następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {97c4cab6-61b3-4540-9274-f278ba746bf7}w64; C:\Windows\System32\drivers\{97c4cab6-61b3-4540-9274-f278ba746bf7}w64.sys [48776 2014-11-26] (StdLib) R1 {a459d632-5225-4bb9-9a0b-002544d16f6e}w64; C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys [61112 2014-04-24] (StdLib) R1 {c97511ae-4154-409f-acea-ebd22476ac29}w64; C:\Windows\System32\drivers\{c97511ae-4154-409f-acea-ebd22476ac29}w64.sys [48776 2014-12-02] (StdLib) S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-10] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-10] (BonanzaDeals) R2 MaintainerSvc7.81.724469; C:\ProgramData\fc69a316-ef1a-4795-843b-0146c382b2b0\maintainer.exe [123632 2015-01-05] () R2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\KMPService.exe [1922600 2013-07-08] (Pandora.TV) R2 Update BatBrowse; C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe [524528 2015-01-05] () R2 Util BatBrowse; C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe [524528 2015-01-05] () Task: {001A82CD-92CA-4DE7-B420-49DB52DE494D} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.6.0.17\SymErr.exe Task: {0D1BAB00-C1BE-498A-BEEE-6D09F9FCBA28} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-10] (BonanzaDeals) Task: {1F0D4589-B017-4D34-83CA-115650EB4085} - System32\Tasks\Yahoo! Search => C:\Users\Ewa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.5\dsrlte.exe [2014-12-21] (Pay By Ads LTD) Task: {3123A6DA-D45D-48BA-972B-EF3AA3A83B6F} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.6.0.17\SymErr.exe Task: {471189BA-45F2-41C6-9263-E5B42B55827E} - System32\Tasks\Yahoo! Search Updater => C:\Users\Ewa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.5\dsrsetup.exe [2014-12-21] (Pay By Ads LTD) Task: {472300DD-C000-4D98-9FE9-5987F4BA7E36} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {8A098222-B835-4374-B14E-1822BE5AB3C0} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-10] (BonanzaDeals) Task: {CF8DDB0E-0EAA-4C31-A6FC-C593A4E5F3CD} - System32\Tasks\FoxTab => C:\Users\Ewa\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\WINDOWS\Tasks\FoxTab.job => C:\Users\Ewa\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2354558839-626714277-1970587182-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na SearchScopes: HKU\S-1-5-21-2354558839-626714277-1970587182-1001 -> DefaultScope {6110B161-C8E5-4FD1-B03A-C09262A969F5} URL = SearchScopes: HKU\S-1-5-21-2354558839-626714277-1970587182-1001 -> {6110B161-C8E5-4FD1-B03A-C09262A969F5} URL = SearchScopes: HKU\S-1-5-21-2354558839-626714277-1970587182-1001 -> {D1952EC9-E7DE-4DA2-A110-BC7E668BA17B} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=793 BHO-x32: BatBrowse 1.0.0.6 -> {a7262c86-7809-4d76-a726-5a379f1a3158} -> C:\Program Files (x86)\BatBrowse\BatBrowseBHO.dll (BatBrowse) BHO-x32: BonanzaDeals -> {fe063412-bea4-4d76-8ed3-183be6220d17} -> C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals) C:\ProgramData\fc69a316-ef1a-4795-843b-0146c382b2b0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\Users\Ewa\AppData\Local\Google C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals C:\Users\Ewa\AppData\Roaming\newnext.me C:\Windows\System32\drivers\{97c4cab6-61b3-4540-9274-f278ba746bf7}w64.sys C:\Windows\System32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys C:\Windows\System32\drivers\{c97511ae-4154-409f-acea-ebd22476ac29}w64.sys C:\Windows\System32\Tasks\Norton Anti-Theft Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, problem z eksplorer powinien ustąpić. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: - Przez Panel sterowania odinstaluj adware BatBrowse 2013.11.07.204732, Bonanza Deals (remove only), Foxtab, KMP Service, Mobogenie, Update_for_BonanzaDeals, Yahoo! Search oraz stare wersje Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.3), Java 7 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie potem przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na czym polega niemożność deinstalacji adware "Ace Race" via Panel sterowania? Proponuję ponowić próbę deinstalacji ale po tymczasowym wyłączeniu Avast. Jeśli deinstalacja się uda, zrób nowy log FRST (zaznacz pole Addition ponownie).

Wybierz "Zamknij program" (i tak proces "przestał działać") i kontynuuj deinstalację Bitdefender (o ile to nadal możliwe po błędzie). Niezależnie od tego czy się uda odinstalować Bitdefender w Trybie normalnym i tak w Trybie awaryjnym do zastosowania ten specjalny usuwacz firmowy.

Deinstalacje nie miały być wykonane w Trybie awaryjnym tylko normalnym, gdyż w awaryjnym nie działa usługa Instalator Windows. 1. Skoro jest problem z mniejszymi deinstalacjami i bardzo powolnym inicjowaniem Panelu sterowania, to zacznij jednak od deinstalacji Bitdefender Total Security. Musisz zacząć od próby deinstalacji w Trybie normalnym, nawet jeśli będzie to trwało bardzo długo. 2. Przy niepowodzeniu w Trybie normalnym, przejdź w Tryb awaryjny i zastosuj narzędzie BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). 3. Jeśli się uda pozbyć BitDefender, przejdź ponownie do wykonania zaległych punktów. To nie jest log TDSSKiller z właściwego usuwania. Niestety wszystko skasował DelFix i już tych danych brak. Nie zajmuj się już tym.

Oba załączniki usuwam. Podałeś mi log z OTL a nie ComboFix, a zawartość SharedAccess nie jest mi potrzebna (mam już dostateczny wgląd do sprawy na ten temat). Oba logi powinny być wprost na dysku C:\. Jeśli ich nie ma, to niestety to efekt zastosowania DelFix (na dysku widać log C:\DelFix.txt) - to nie jest narzędzie usuwania infekcji tylko używanych określonych skanerów i ich logów. Tak więc nie dowiem się już tu chyba co robiły te skanery. To załączyłam już w skrypcie FRST - wydrukuje mi wyniki. Dane o filtrach napędów CD/DVD również pobieram w skrypcie FRST i jeśli modyfikacja zostanie wykryta, podam stosowny fix. To może być efekt zupełnie innego czynnika, np. BitDefender. Pomijając że jest to bardzo rozbudowany / inwazyjny program, używa on poniższej modyfikacji wprowadzającej ikony nakładkowe w eksploratorze, a ten rodzaj modyfikacji w niektórych przypadkach prowadzi do dziwnych zachowań eksploratora. ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => C:\Program Files\Bitdefender\Bitdefender SafeBox\SafeBoxShell.dll (Bitdefender) Ten aspekt będziemy analizować potem, po naprawie podstawowych usterek już tu zdiagnozowanych.

Czyszczę temat ze zbędnych wtrętów. Są konkretne zasady działu, tu zostały dostarczone niekompletne materiały. OTL jest jedynie raportem podrzędnym, gdyż narzędzie przestarzałe i wielu rzeczy mu już brakuje. Proszę dostarcz obowiązkowe raporty FRST. "Nieznany wydawca" oraz "na własne ryzyko" są pokazane na obrazkach w w/w instrukcji obsługi, co oznacza że nie jest to żadna przeszkoda i nie ma tu żadnego "ale", by uruchomić. Jest też napisane, że program wypiera OTL, bo skanuje lepiej i więcej. Co do "używania na własne ryzyko": ależ z OTL też tak jest, tylko narzędzie po prostu nie podaje komunikatu gwarancji, a sprawa tyczy usuwania a nie skanu. FRST jest nawet lepiej zabezpieczony przed wpadką niż OTL, gdyż zawsze przy pierwszym uruchomieniu robi kopię całego rejestru (OTL wcale). Ten komunikat z "Kontrolą konta użytkownika" punktujący plik C:\Windows\p_981116.exe pochodzi od wpisu DirectX i nie jest to infekcja: O4 - HKLM..\Run: [DXM6Patch_981116] C:\Windows\p_981116.exe (Microsoft Corporation) A resztę ocenię po uzyskaniu kompletu logów. SpyHunter to program-naciągacz, z czarnej listy. Z daleka od niego.

Sytem jest zainfekowany malware Sathurbot, ponadto są tu liczne ślady infekcji ZeroAccess (link symboliczny, uszkodzony łańcuch Winsock, prawdopodobnie sterownik serial.sys jest zainfekowany) oraz są ślady niepoprawnie odinstalowanego Kasperskiego. Przed przejściem do usuwania poproszę o dodatkowe dane: - Spis kopii pliku serial.sys. Uruchom FRST, w polu Search wklep serial.sys, klik w Search Files i dostarcz wynikowy log. - Log z Kaspersky TDSSKiller. Jeśli cokolwiek znajdzie, wybierz Skip i tylko wynikowy raport dostarcz.

To nie była poprawna metoda deinstalacji, a nowe logi FRST (wszystie 3) są konieczne, gdyż poprzednie są zupełnie nieaktualne po uruchomieniu AdwCleaner.

Proszę używaj opcji Edycja, jeśli chcesz uzupełnić post, a nikt jeszcze nie odpisał. Posty skleiłam. Nadal brakuje: Te logi są konieczne, by było wiadome co usuwałeś tymi narzędziami. Prawdopodobnie któreś z nich posunęło się za daleko. Tak duży plik to raczej cały CBS.LOG a nie raport wynikowy komendy filtrującej. Brak oznak czynnej infekcji. System ma zdewastowany układ Winsock. Została usunięta usługa AFD, która jest konieczna do obsługi sieci. Usługi nie usunęła infekcja, musiał to zrobić któryś skaner. afd Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open afd registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open afd registry key. The service key does not exist. Dodatkowo, jest tu uszkodzenie łańcucha Winsock (część NameSpace) również uniemożliwiające operacje sieciowe: Winsock: Missing Catalog5 entry, broken internet access. Natomiast nie ma tu żadnych śladów uszkodzeń Windows Defender. On zresztą powinien zostać i tak zdeaktywowany przez instalację BitDefender. Czy to nadal występuje? Póki co, tu tu prędzej widzę niezdolność odczytu CD/DVD, gdyż w raporcie stoi poniższa wybrakowana usługa po niekompletnej deinstalacji iTunes - powiązany sterownik filtruje urządzenia CD/DVD. S3 GEARAspiWDM; system32\DRIVERS\GEARAspiWDM.sys [X] [hr] Działania wstępne: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 14 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader X (10.1.12), Java 7 Update 51, Java 8 Update 5, Java SE Development Kit 8 Update 5, Java™ 6 Update 7, OpenOffice.org 3.0 (ten ostatni nie potrafi korzystać z najnowszej Java). 2. Otwórz Notatnik i wklej wnim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD] "DisplayName"="Ancilliary Function Driver for Winsock" "Group"="PNP_TDI" "ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,72,\ 00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,66,00,64,00,2e,00,73,00,79,00,\ 73,00,00,00 "Description"="Ancilliary Function Driver for Winsock" "ErrorControl"=dword:00000001 "Start"=dword:00000001 "Type"=dword:00000001 "BootFlags"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum] "0"="Root\\LEGACY_AFD\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Missing Catalog5 entry, broken internet access. DisableService: sptd S2 Apple Mobile Device; "C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe" [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 BBSvc; "C:\Program Files\Microsoft\BingBar\BBSvc.EXE" [X] S2 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 GEARAspiWDM; system32\DRIVERS\GEARAspiWDM.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 HWDeviceService.exe; "C:\ProgramData\DatacardService\HWDeviceService.exe" -/service [X] S3 iPod Service; "C:\Program Files\iPod\bin\iPodService.exe" [X] S3 Netaapl; system32\DRIVERS\netaapl.sys [X] S3 RTL8192su; system32\DRIVERS\RTL8192su.sys [X] S2 SeaPort; "C:\Program Files\Microsoft\BingBar\SeaPort.EXE" [X] S3 USBAAPL; System32\Drivers\usbaapl.sys [X] S3 WDC_SAM; system32\DRIVERS\wdcsam.sys [X] CustomCLSID: HKU\S-1-5-21-894316807-4337371-2112429552-1000_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) CustomCLSID: HKU\S-1-5-21-894316807-4337371-2112429552-1000_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Users\Madga\AppData\Local\Facebook\Update\1.2.205.0\goopdate.dll (Facebook Inc.) Task: {0732E201-86F3-4AEB-96A6-71EB9D5EA9A5} - System32\Tasks\{F4EC99DB-D9B7-434A-9F2A-7A8EB84A3511} => pcalua.exe -a "E:\Partition Magic Pro 7.0-FULL.exe" -d E:\ Task: {1CEDB299-F1EE-4CFA-8DC2-3F8AF1413BA4} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000UA => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-17] (Facebook Inc.) Task: {26B43CAC-A86E-40A7-B1C7-F2C3D3D160E6} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000Core => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-09-17] (Facebook Inc.) Task: {D3054C28-44F5-4681-A7F1-1A6DB24A7FB3} - System32\Tasks\DriverToolkit Autorun => C:\Program Files\DriverToolkit\DriverToolkit.exe Task: {D5606B37-8164-4A28-A59D-AAEAE0D7C445} - System32\Tasks\{02795DB0-172F-4869-AFBB-6FEFE8537B9A} => pcalua.exe -a "C:\Program Files\PLAY ONLINE\Driver\devsetup2k.exe" -d "C:\Program Files\PLAY ONLINE\Driver" Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000Core.job => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-894316807-4337371-2112429552-1000UA.job => C:\Users\Madga\AppData\Local\Facebook\Update\FacebookUpdate.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-894316807-4337371-2112429552-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM -> {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> DefaultScope {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-894316807-4337371-2112429552-1000 -> {6A780C7A-0F2C-4D40-A032-BAEF07C1C686} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\Temp C:\Users\Madga\AppData\Local\1cf6efbe C:\Users\Madga\AppData\Local\tmp*.* C:\Users\Madga\AppData\Local\Facebook C:\Users\Madga\AppData\Local\Google\Chrome C:\Users\Madga\AppData\Roaming\medsn C:\Users\Madga\AppData\Temp Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz pole Addition, Shortcut jednak zbędny) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Opisz jakie są problemy bieżące.

Czy na pewno reklamy nadal występują? W raportach nie widać żadnych czynnych obiektów. Druga sprawa, raporty są zrobione z poziomu jednego tylko konta, a są tu dwa czynne i oba trzeba sprawdzić: ========================= Accounts: ========================== Aneta (S-1-5-21-1126750161-3047502343-1220557130-1001 - Administrator - Enabled) => C:\Users\Aneta KSIEGOWA (S-1-5-21-1126750161-3047502343-1220557130-1008 - Administrator - Enabled) => C:\Users\KSIEGOWA Zaloguj się na konto Aneta poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób zestaw raportów FRST (główny + Addition, bez Shortcut). Poza tym, był używany ComboFix - dostarcz plik C:\ComboFix.txt, który jest na dysku.

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadome co robił. Zasady działu jakie logi są tu obowiązkowe: KLIK. Uzupełnij.

To poprawny proces sterowników AMD: ==================== Processes (Whitelisted) ================= (AMD) C:\WINDOWS\System32\atiesrxx.exe (AMD) C:\WINDOWS\System32\atieclxx.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe Jest on w Menedżerze zadań wyświetlany bez żadnych danych opisowych, gdyż menedżer jest uruchomiony na zbyt niskich uprawnieniach. Podobny temat: KLIK. Problem leży gdzie indziej, ale w raportach mało co widać - właściwie tylko polityki blokujące Google Chrome. Dodatkowo: zainstalowałeś wątpliwy skaner SpyHunter, z daleka od niego. Wstępnie: 1. Odinstaluj stare wersje i wątpliwy skaner: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 - Polish, Java 7 Update 25, Java™ 6 Update 20 (64-bit), SpyHunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoUpdaterService] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\Updater\bin\genupdater.exe" -wait 5 HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoSystemTray] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\TrayUi\bin\gentray.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Genieo C:\Users\Bartek\AppData\Roaming\Systweak Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Specjalny skrót IE jest uszkodzony (prawdopodobnie czyszczeniem AdwCleaner): Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

DamnSlayer, system jest w gorszym stanie niż był przed "Fixem" (a "Fix" nie ma żadnego związku z problemem głównym): uszkodzona licencja Windows, usunięte poprawne usługi programów firmowych AMD i ASUS, uszkodzone Google Chrome zmienione całkowicie przez adware (ze stabilnej do development, co i tak wymusza kompleksową reinstalację od zera) i kupa adware. Tak nie może zostać, proszę wykonaj co mówię.

Proszę dostosuj się do zasad działu w kwestii obowiązkowych raportów: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie, obowiązkowe są raporty z FRST i GMER. Dodatkowo: dostarcz logi utworzone wcześniej przez TDSSKiller i ComboFix (chodzi o już obecne a nie ponowne uruchomienie narzędzi) oraz Farbar Service Scanner.

O którym "Recovery" mowa / jakiej opcji konkretnie? Czy jest możliwe zrobienie raportu FRST z poziomu środowiska WinRE: KLIK? Temat przenoszę do działu Windows 7.

To jest skutek przetworzenia w nieszczęsnym "Fixie" FRST plików licencji Windows: 2015-01-03 23:50 - 2009-07-14 05:45 - 00013584 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2015-01-03 23:50 - 2009-07-14 05:45 - 00013584 ____H () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 W związku ze szkodami zrób Przywracanie systemu do czasu przed operacjami w FRST, a jest to ostatnia pozycja na tej liście datowana na 1 styczeń: ==================== Restore Points ========================= 20-12-2014 12:35:29 Installed TP-LINK Wireless Configuration Utility and Driver 20-12-2014 12:35:48 Instalacja pakietu sterownika urządzenia: TP-LINK Karty sieciowe 20-12-2014 12:36:02 Installed TP-LINK Wireless Configuration Utility 20-12-2014 13:01:53 Microsoft Visual C++ 2012 Redistributable (x86) - 11.0.50727 20-12-2014 13:03:21 Windows Update 20-12-2014 13:05:15 Windows Update 20-12-2014 13:07:15 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.50727 20-12-2014 13:10:15 Zainstalowane ASUS GPU Tweak 20-12-2014 13:10:58 Installed GPUTweakStreaming 20-12-2014 13:27:55 Zainstalowane Realtek Ethernet Controller Driver 20-12-2014 13:56:59 Zainstalowany program DirectX 20-12-2014 17:50:17 Windows Update 20-12-2014 18:34:14 Zainstalowany program DirectX 20-12-2014 18:45:00 Zainstalowany program DirectX 20-12-2014 18:55:12 Windows Update 20-12-2014 19:06:14 Zainstalowany program DirectX 21-12-2014 22:24:35 Zainstalowany program DirectX 25-12-2014 12:28:25 avast! antivirus system restore point 25-12-2014 20:21:30 avast! antivirus system restore point 01-01-2015 16:54:08 Zainstalowany program DirectX 01-01-2015 17:02:36 Zainstalowany program DirectX To powinno naprawić szkody a także wyzerować wiele modyfikacji adware. Po akcji zrób nowe raporty FRST (główny, Addition, Shortcut) i opisz jakie są problemy bieżące.

marcin878787 Zasady działu Twój "Fix" FRST to nie wiadomo co to miało być i czemu służyć. W "Fixie" wywalasz poprawne obiekty: pliki licencji Windows, usługi AMD i ASUS GPU Tweak, dewastacja całego Google Chrome poprzez usunięcie poprawnych rozszerzeń. O tyle tu się "upiekło", że z Google Chrome już nastąpiła w międzyczasie zmiana i obiekty zadane do usunięcia w większości nie zostały przetworzone, reszta niestety tak. DamnSlayer Pomijając to co stało się powyżej, zaszły nowe niekorzystne okoliczności. Poprzednio poprawna wersja Google Chrome (wersja stabilna) obecnie została przez adware przekonwertowana do wersji "developement", a w systemie pojawiły się nowe obiekty adware. Instrukcje rozpiszę potem, gdyż po powrocie z wakacji potrzebuję czasu na analizę raportów i przejrzenie działu czy aby nie ma tu podobnych kwiatków do powyższych.

Najlepsze życzenia z okazji Świąt Bożego Narodzenia dla wszystkich użytkowników fixitpc.pl!

Brak zmian w skrypcie. Uruchomienie FRST powoduje przemapowanie liter i dysk z Windows będzie widziany pod C.

W takim razie wrócę jeszcze do wpisu DNS pobieranego z routera, to adres prywatny, więc nie wygląda per se szkodliwie, ale może problemem jest tu właśnie router: Tcpip\Parameters: [DhcpNameServer] 10.2.255.1 Proponuję sprawdzić co się stanie po resecie routera. 1. Zaloguj się do routera: Zmień ustawienia DNS na adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. 2. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie i podaj zwrotny wynik: KLIK.

Jest tu dużo obiektów adware, w tym inwazyjne sterowniki grupy Sambreel. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: Mobogenie, WinZipper. - Stare wersje i zbędniki firmowe: Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, ASUS WebStorage, AsusVibe2.0, HP Customer Participation Program 14.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {2f0ff925-183b-4210-98f5-cb2ffd917f2b}w64; C:\Windows\System32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}w64.sys [61112 2014-07-16] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-24] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [61112 2014-05-22] (StdLib) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485376 2014-12-16] (Fuyu LIMITED) [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S2 Update Adanak; "C:\Program Files (x86)\Adanak\updateAdanak.exe" [X] Task: {425117ED-1B38-4678-B639-2F1A043DD1BD} - System32\Tasks\{14FF35BE-20C7-499A-BF7E-F5EA003FB4F8} => pcalua.exe -a "D:\GSC Game World\Kozacy II\uninstall.exe" Task: {444E5478-D9F9-4633-9BDC-D38E93E95F40} - System32\Tasks\{827DE61F-7CEF-4D56-BA69-A39B8E27F1AD} => pcalua.exe -a F:\Redist\vcredist_x86.exe -d F:\Redist Task: {5F8CF112-2F37-4E2B-A066-54D8D074D395} - System32\Tasks\{738E467E-80AA-4037-AD01-D51E2265FD7E} => pcalua.exe -a C:\Windows\uncsetup.exe Task: {92E59759-E9CB-44C2-B9AE-9004AE15BF74} - \YourFile DownloaderInstaller Starter No Task File Task: {B8CC3A5F-2D06-4272-8B39-CF0503642471} - System32\Tasks\LaunchApp => C:\Program Files (x86)\MyPC Backup\MyPC Backup.exe Task: {D420E3C7-474A-4B91-A2E1-169CA1320DE5} - System32\Tasks\{A198D808-358B-44C4-9B5A-1884ED38530D} => pcalua.exe -a F:\SETUP.EXE -d F:\ HKLM\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\Run: [PlayNC Launcher] => [X] HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\Run: [speedUpMyComputer] => C:\Program Files (x86)\SmartTweak\SpeedUpMyComputer\SpeedUpMyComputer.exe /ot /as HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\CurrentVersion\Windows: [Load] C:\Users\Maciek\LOCALS~1\Temp\msiayv.exe HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\MountPoints2: I - I:\LGAutoRun.exe HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\...\MountPoints2: {4e59ccbe-9913-11e2-a626-5404a635cb10} - I:\LGAutoRun.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX ShortcutWithArgument: C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX HKU\S-1-5-21-1006994454-2966411666-1677556623-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405973942&from=exp&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ASUT SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=DCC9742F68F78CA8&affID=124742&tsp=5014 SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1006994454-2966411666-1677556623-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-18] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-18] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-07-21] CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1418935011&from=wpm12173&uid=HitachiXHTS547550A9E384_J2150050CVZNPDCVZNPDX C:\Program Files (x86)\mozilla firefox C:\Program Files (x86)\SupTab C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Maciek\AppData\Local\genienext C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Maciek\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Maciek\AppData\Roaming\WorldofTanks C:\Users\Maciek\AppData\Roaming\Sample.lnk C:\Users\Maciek\Desktop\Tekstowe\Pit Pro 2012.lnk C:\Users\Maciek\Desktop\skróty programy\chmura.podatnik.info.lnk C:\Users\Maciek\Desktop\skróty programy\Kozacy II.lnk C:\Users\Maciek\Desktop\skróty programy\Opera.lnk C:\Users\Maciek\Desktop\skróty programy\PIT Format 2012.lnk C:\Users\Maciek\Desktop\skróty programy\PIT pro 2012.lnk C:\Users\Maciek\Desktop\skróty programy\PowerISO.lnk C:\Users\Maciek\Desktop\skróty programy\Sniper Elite V2.lnk C:\Users\Maciek\Desktop\skróty programy\YouTube to ALLPlayer.lnk C:\Users\Maciek\Desktop\skróty gry\Diablo II - Lord of Destruction.lnk C:\Users\Maciek\Desktop\skróty gry\Diablo II.lnk C:\Users\Maciek\Desktop\skróty gry\Titan Quest - Immortal Throne.lnk C:\Users\Maciek\Desktop\skróty gry\Titan Quest.lnk C:\Windows\System32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}w64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Maciek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Maciek\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Nadal brakuje raportu z GMER. W systemie nie widać oznak infekcji związanej z tą infekcją, ale nie został podany GMER. Na urządzeniu obecnie nie widać ani "Removable Disk", ani ukrytych plików innych niż AUTORUN.INF (który jest pusty = zero bajtów): ################## | G:\ - Removable drive (FAT32) | [27/03/2014 - 20:33:12 | A | 11 Ko] - G:\WOW.xlsx [20/12/2014 - 15:30:38 | A | 26 Ko] - G:\FRST.txt [20/12/2014 - 15:30:48 | A | 24 Ko] - G:\Addition.txt [20/12/2014 - 15:30:56 | A | 38 Ko] - G:\Shortcut.txt [20/12/2014 - 15:32:28 | H | 0 Ko] - G:\AUTORUN.INF [31/05/2014 - 23:24:36 | A | 379 Ko] - G:\to co do poprawy.docx [01/04/2014 - 23:20:06 | D] - G:\podstawy projektowania inzynierskiego G:\AUTORUN.INF - a czy to przypadkiem nie jest plik zrobiony przez Panda USB Vaccine (widać ślady stosowania) lub przezeń zablokowany? Wprawdzie plik Panda powinien mieć 16 bajtów a nie 0, ale skoro jest nie do ruszenia, to może to produkt działań Panda. Po utworzeniu takiego pliku za pomocą Panda można go usunąć tylko poprzez format urządzenia lub bezpośrednią hex edycję dysku. To osobna sprawa: w systemie działa adware. Poza tym, być może jest tu też i problem z dyskiem twardym, gdyż jest mnóstwo folderów świadczących o intensywnej pracy checkdiska i obcinaniu wadliwych danych: [03/12/2014 - 12:16:37 | D] - C:\found.011 [19/09/2014 - 07:28:29 | D] - C:\found.010 [04/09/2014 - 09:37:03 | D] - C:\found.009 [24/08/2014 - 12:39:25 | D] - C:\found.008 [05/08/2014 - 16:56:27 | D] - C:\found.007 [09/07/2014 - 12:56:54 | D] - C:\found.006 [06/07/2014 - 19:25:57 | D] - C:\found.005 [23/06/2014 - 17:51:41 | D] - C:\found.004 [03/06/2014 - 19:03:29 | D] - C:\found.003 [25/05/2014 - 10:37:15 | D] - C:\found.002 [21/04/2014 - 17:52:08 | D] - C:\found.001 [19/04/2014 - 08:00:28 | D] - C:\found.000 Na razie mogę się zająć tylko tym co widać: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 PennyBee; C:\Program Files\PennyBee\PennyBee.exe [50176 2014-10-23] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-11] (Fuyu LIMITED) [File not signed] U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-18] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X] Task: {5546CDE7-146D-4926-B7FB-BFF55BC2150D} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {57963B13-89CD-4F7D-8ED2-765B574B85EF} - System32\Tasks\Opera D1 => C:\Program Files\Opera\launcher.exe Task: {94E2F319-D480-450B-A33B-D8595CF64612} - System32\Tasks\Opera D6 => C:\Program Files\Opera\launcher.exe CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418322505&from=cor&uid=WDCXWD1600BEVS-60RST0_WD-WXCY0754784547845" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2669564976-2020018048-883904723-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-2669564976-2020018048-883904723-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PPMate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension G:\AUTORUN.INF Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: PennyBee, PennyBeeUpdate. - Stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 8, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java™ SE Runtime Environment 6. 3. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz zaległy GMER. Dołącz też plik fixlog.txt.