picasso

W systemie jest ogromna ilość sterowników adware i to jest przyczyna BSOD. Akcja: 1. Otwórz Notatnik i wklej w nim: R1 {0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t; C:\WINDOWS\System32\drivers\{0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t.sys [55824 2014-10-11] (StdLib) R1 {18fa7aee-6838-42dd-8d32-3fd665a7e664}t; C:\WINDOWS\System32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}t.sys [55824 2014-10-17] (StdLib) R1 {1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t; C:\WINDOWS\System32\drivers\{1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t.sys [55824 2014-12-06] (StdLib) R1 {1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t; C:\WINDOWS\System32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys [55824 2014-10-13] (StdLib) R1 {2429c312-24d3-4127-94ed-c247fe9e02fc}t; C:\WINDOWS\System32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}t.sys [55824 2014-10-22] (StdLib) R1 {2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t; C:\WINDOWS\System32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t.sys [55824 2014-10-20] (StdLib) R1 {2f6db162-50b5-48ec-8bd0-c6ac5074038f}t; C:\WINDOWS\System32\drivers\{2f6db162-50b5-48ec-8bd0-c6ac5074038f}t.sys [55824 2014-12-09] (StdLib) R1 {38f72c19-9857-4bc2-b729-9d00bd429872}t; C:\WINDOWS\System32\drivers\{38f72c19-9857-4bc2-b729-9d00bd429872}t.sys [55824 2014-10-15] (StdLib) R1 {6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t; C:\WINDOWS\System32\drivers\{6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t.sys [55824 2014-11-30] (StdLib) R1 {6cfec6a5-9d93-4492-985a-470a68eff4e9}t; C:\WINDOWS\System32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys [55824 2014-10-24] (StdLib) R1 {9390ab08-5703-448b-94f8-b8b1934c8841}t; C:\WINDOWS\System32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}t.sys [55824 2014-10-18] (StdLib) R1 {9794b31c-7078-45aa-8534-9fee5d10dfe6}t; C:\WINDOWS\System32\drivers\{9794b31c-7078-45aa-8534-9fee5d10dfe6}t.sys [55824 2014-12-03] (StdLib) R1 {b35afcf6-0992-4551-b2da-3af8a5dc5119}t; C:\WINDOWS\System32\drivers\{b35afcf6-0992-4551-b2da-3af8a5dc5119}t.sys [55824 2014-10-11] (StdLib) R1 {b8202deb-d90b-4859-9db1-238d59fbcdd4}t; C:\WINDOWS\System32\drivers\{b8202deb-d90b-4859-9db1-238d59fbcdd4}t.sys [55824 2014-11-30] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt; C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys [55056 2014-09-19] (StdLib) R1 {c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t; C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys [55056 2014-09-21] (StdLib) R1 {c89879cb-75b8-4cb6-bc13-07c704396fd0}t; C:\WINDOWS\System32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys [55824 2014-10-13] (StdLib) R1 {f8280ede-2ab0-420d-ae0f-169ba406978b}t; C:\WINDOWS\System32\drivers\{f8280ede-2ab0-420d-ae0f-169ba406978b}t.sys [55824 2014-10-21] (StdLib) R1 {fff2d2b4-0f90-4edd-a75a-047e2658236a}t; C:\WINDOWS\System32\drivers\{fff2d2b4-0f90-4edd-a75a-047e2658236a}t.sys [55824 2014-10-17] (StdLib) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-30] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-30] (globalUpdate) [File not signed] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 catchme; \??\C:\DOCUME~1\Greg.GS\USTAWI~1\Temp\catchme.sys [X] Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\SMupdate1.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SPBIW_UpdateTask_Time_333436303534383239362d3437415a556c2a3223346c41.job => C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro\spbihe.js" spbiu.exe Task: C:\WINDOWS\Tasks\YTDownloader.job => C:\Program Files\YTDownloader\YTDownloader.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-861567501-1604221776-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=55&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&SSPV= HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = http://www.msn.com/access/allinone.asp HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = http://www.microsoft.com/msoffice/ HKU\S-1-5-21-861567501-1604221776-839522115-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=58&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3319709&octid=EB_ORIGINAL_CTID&ISID=MDDAA7C1E-524E-4416-9E5A-7C4A68724F5A&SearchSource=58&CUI=&UM=6&UP=SPE1FEEB4D-FD3A-4308-9233-AC61828D2C7C&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-861567501-1604221776-839522115-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417348758&from=wpc&uid=WDCXWD800BB-00JHC0_WD-WCAM9A04904249042&q={searchTerms} Handler: ipp - No CLSID Value - Handler: msdaipp - No CLSID Value - HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\mntemp C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\15553404656720149986 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\1790955706 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ahphemkffjccicjbnjjgmkiibfngenlf C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\APN C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\d7d8cb213bb5fde2 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\DriverGenius C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\F-Secure C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\FileOpen C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\InstallMate C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ShopperPro C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Trusted Publisher C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\UDL C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Catalyst Control Center C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Nokia PC Suite C:\Documents and Settings\Greg.GS\Dane aplikacji\DownLite C:\Documents and Settings\Greg.GS\Dane aplikacji\FileOpen C:\Documents and Settings\Greg.GS\Dane aplikacji\OpenCandy C:\Documents and Settings\Greg.GS\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\Greg.GS\Dane aplikacji\RHEng C:\Documents and Settings\Greg.GS\Dane aplikacji\VOPackage C:\Documents and Settings\Greg.GS\Menu Start\Programy\VOPackage C:\Documents and Settings\Greg.GS\Menu Start\Programy\YTDownloader C:\Documents and Settings\Greg.GS\Pulpit\StartDownload.exe C:\Documents and Settings\Greg.GS\Pulpit\Symulator Farmy 2013.lnk C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Greg.GS\Ustawienia lokalne\Dane aplikacji\iWebar C:\Program Files\BuyNsave C:\Program Files\ESET C:\Program Files\globalUpdate C:\Program Files\YoutubeAdBlocke C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{0c7dc56c-1fb8-4d6b-a40f-10611881a3b6}t.sys C:\WINDOWS\System32\drivers\{18fa7aee-6838-42dd-8d32-3fd665a7e664}t.sys C:\WINDOWS\System32\drivers\{1dc3c8ee-7a5c-414f-bf32-ae563ad31ed1}t.sys C:\WINDOWS\System32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys C:\WINDOWS\System32\drivers\{2429c312-24d3-4127-94ed-c247fe9e02fc}t.sys C:\WINDOWS\System32\drivers\{2ac9eb83-636e-4a51-ab66-bf4f388a02ab}t.sys C:\WINDOWS\System32\drivers\{2f6db162-50b5-48ec-8bd0-c6ac5074038f}t.sys C:\WINDOWS\System32\drivers\{38f72c19-9857-4bc2-b729-9d00bd429872}t.sys C:\WINDOWS\System32\drivers\{6610c2c8-50f9-4a6a-b791-c2b9e2bdc00d}t.sys C:\WINDOWS\System32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys C:\WINDOWS\System32\drivers\{9390ab08-5703-448b-94f8-b8b1934c8841}t.sys C:\WINDOWS\System32\drivers\{9794b31c-7078-45aa-8534-9fee5d10dfe6}t.sys C:\WINDOWS\System32\drivers\{b35afcf6-0992-4551-b2da-3af8a5dc5119}t.sys C:\WINDOWS\System32\drivers\{b8202deb-d90b-4859-9db1-238d59fbcdd4}t.sys C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys C:\WINDOWS\System32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys C:\WINDOWS\System32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys C:\WINDOWS\System32\drivers\{f8280ede-2ab0-420d-ae0f-169ba406978b}t.sys C:\WINDOWS\System32\drivers\{fff2d2b4-0f90-4edd-a75a-047e2658236a}t.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Softonic for Windows" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\StartCCC" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VOPackage /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 8.1.0 - Polish, Adobe Shockwave Player 12.0, Java 7 Update 67. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

FRST remapuje tymczasowo liternictwo w pamięci, tak by dysk systemowy zawsze był widziany podczas skanu i usuwania pod "C:", co właśnie ma pomóc uniknąć domysłów jakie liternictwo występuje w środowisku zewnętrznym. Nic nie trzeba sprawdzać, jeśli jest uruchamiany FRST - za każdym razem przemontowuje układ. U Ciebie jest jednak pewna "wada" - w rejestrze Windows są na twardo zakodowane ścieżki kierujące na dysk "I:", stąd większość wpisów jest fałszywie przedstawiona jako "wybrakowana". Zgłaszałam to jakiś czas temu autorowi, ale korekta tego jest pracochłonna i nie wiadomo czy zostanie wdrożona. Jeśli chodzi o infekcję: 1. W Notatniku przygotuj plik o treści: HKU\PatrykG\...\Winlogon: [shell] explorer.exe,I:\Documents and Settings\PatrykG\Dane aplikacji\Other.res HKU\Administrator\...\RunOnce: [Report] => I:\AdwCleaner[s4].txt GroupPolicy: Group Policy on Chrome detected C:\Documents and Settings\PatrykG\Dane aplikacji\Other.res Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. System powinien zostać odblokowany. Loguj się normalnie do Windows i zrób pełne raporty FRST spod Windows: KLIK. Dołącz też plik fixlog.txt.

Wszystko zostało uwidocznione na urządzeniu. Na koniec odinstaluj USBFix oraz skasuj pobrany FRST i folder C:\FRST.

W systemie nie ma oznak infekcji, zdefektowane jest tylko urządzenie. Operacja przy podpiętym telefonie: 1. Otwórz Notatnik i wklej w nim: CMD: attrib /d /s -s -h H:\* S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] HKU\S-1-5-21-439881807-2267140225-2275272404-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-439881807-2267140225-2275272404-1001\...\MountPoints2: {8bc1956d-416c-11e4-8252-448a5b2438ba} - "F:\Nokia_Link.exe" HKU\S-1-5-21-439881807-2267140225-2275272404-1001\...\MountPoints2: {fee3d220-3fd3-11e4-824f-448a5b2438ba} - "G:\Set-up.exe" CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] C:\ProgramData\Norton Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Usunięcie kont to jedno. Ale dodatkowo ingerowałeś w mój skrypt. Na dysku były foldery: C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe Natomiast Ty wstawiłeś rzeczy, których w raportach nie było wcale (nie ma takiego konta ani ścieżki w ogóle w żadnym spisie): C:\Documents and Settings\ddabrowski\Dane aplikacji\eCyber C:\Documents and Settings\ddabrowski\Dane aplikacji\iSafe Pomijając to, reszta zadań wykonana i przejdź do czynności finalizujących: 1. Standardowe kroki z DelFix i czyszczeniem folderów Przywracania systemu: KLIK. 2. Zmień dane logowania w serwisach (bank i podobne).

Delfix w porządku, usuń plik C:\Delfix.txt z dysku. Temat rozwiązany, zamykam. I wielkie dzięki za dotację!

To konto jest zainfekowane, uruchamia się na nim następujący wpis: HKU\S-1-5-21-2094431546-3998815993-849199213-4764\...\Run: [speechEngines] => C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines\spcommon.exe [113664 2014-11-17] (zLoBrZWvG) Czyli poprzednie instrukcje na koncie "pma" nieaktualne, wszystko zrobisz z poziomu konta "bsz": 1. Odinstaluj dziurawce: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 11.5, Java 7 Update 65, Java™ 6 Update 33, Java™ 6 Update 5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-2094431546-3998815993-849199213-4764\...\Run: [speechEngines] => C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines\spcommon.exe [113664 2014-11-17] (zLoBrZWvG) R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] S3 catchme; \??\C:\DOCUME~1\DDABRO~1\USTAWI~1\Temp\catchme.sys [X] U2 CertPropSvc; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 hoxxzuk; C:\WINDOWS\system32\xzrmiry.dll [X] NETSVC: hoxxzuk -> C:\WINDOWS\system32\xzrmiry.dll ==> No File. HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2094431546-3998815993-849199213-4764\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2094431546-3998815993-849199213-4764\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\bsz\Dane aplikacji\eCyber C:\Documents and Settings\bsz\Dane aplikacji\iSafe C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Program Files\Tor C:\WINDOWS\grep.exe C:\WINDOWS\MBR.exe C:\WINDOWS\PEV.exe C:\WINDOWS\sed.exe C:\WINDOWS\zip.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie udało mi się znaleźć tej wersji komponentu u siebie, nadal szukam: C:\Windows\winsxs\amd64_microsoft-windows-t..alservices-webproxy_31bf3856ad364e35_7.2.7601.16415_none_493e0efe98a00e73\TSWbPrxy.exe [2014-04-07 19:35][2013-10-02 01:08] 0083968 ____A () CBD00AC69B92C8B884FD368098BF10B7 C:\Windows\System32\TSWbPrxy.exe [2014-04-07 19:35][2013-10-02 01:08] 0083968 ____A () CBD00AC69B92C8B884FD368098BF10B7 Naprawa reszty plików: 1. Paczka poprawnych plików z mojego systemu x64 (Pliki.zip): KLIK. Utwórz tymczasowy folder C:\TMP i w nim umieść wszystkie rozpakowane pliki oraz FRST. 2. Przygotuj w Notatniku skrypt do FRST fixlist.txt o postaci: CMD: copy /y C:\TMP\_TransactionBridgePerfCounters1.ini C:\Windows\winsxs\amd64_wcf-m_tx_bridge_perf_c_ini_31bf3856ad364e35_6.1.7600.16385_none_dc743a7047f5372e\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\msjtes40.dll C:\Windows\winsxs\x86_microsoft-windows-m..ss-components-jetes_31bf3856ad364e35_6.1.7600.16385_none_36886cdd2e3bf7e4\msjtes40.dll CMD: copy /y C:\TMP\msjtes40.dll C:\Windows\SysWOW64\msjtes40.dll CMD: copy /y C:\TMP\user32.amx C:\Windows\System32\manifeststore\user32.amx CMD: copy /y C:\TMP\user32.amx C:\Windows\winsxs\amd64_microsoft-windows-a..structure-manifests_31bf3856ad364e35_6.1.7601.17514_none_fbf16a81c9f1ea8f\user32.amx CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\Microsoft.NET\Framework64\v4.0.30319\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\Microsoft.NET\Framework\v4.0.30319\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0816\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0804\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0416\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0404\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\001F\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\001D\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0019\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0015\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0014\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0013\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0012\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0011\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0010\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000E\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000D\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000C\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000B\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\000A\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0009\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0008\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0007\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0006\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0005\_TransactionBridgePerfCounters.ini CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini C:\Windows\inf\MSDTC Bridge 4.0.0.0\0001\_TransactionBridgePerfCounters.ini Plik fixlist.txt także umieść w folderze C:\TMP. 3. F8 > Napraw komputer > Wiersz polecenia > C:\TMP\FRST64.exe i ENTER > w FRST opcja Fix. Przedstaw wynikowy fixlog.txt utworzony w folderze C:\TMP.

Nie wiem, ale nie jest to wykluczone (próba otworzenia pliku Preferences, który jest w użyciu). Na wszelki wypadek zamknij Operę na czas wykonywania skryptu.

Nic nowego się nie pojawiło. Już prawie kończymy. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Agnese\Desktop\Dati precedenti di Firefox CMD: for /d %f in (C:\Users\Agnese\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Fix wykonany i możemy kończyć. Zastosuj DelFix (GMER dokasuj ręcznie), wyczyść foldery Przywracania systemu oraz uzupełnij aktualizacje (IE11, wtyczki Adobe Flash dla Firefox + IE, Java). Wszystko opisane tu: KLIK.

Nie wiem dlaczego komendy FRST nie pobierają danych ze ścieżek Opery, jedna z nich jest definitywnie w systemie. A wyniki AdwCleaner tyczące Opery to nie wyglądają na rzeczywiste (pobór czarnej listy Opera zamiast rzeczywiście zainstalowanych rozszerzeń). Wstępnie: 1. Uruchom AdwCleaner ponownie, wybierz Szukaj, w karcie Opera odznacz wszystko, następnie wybierz Usuń. 2. Otwórz Notatnik i wklej w nim: CMD: dir /a "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable" CMD: type "C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Preferences" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Żadnych nowości w raporcie FRST, więc czyszczenie systemu zostało zakończone. Usuń ręcznie K:\Temp\Wazne\FRST. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Te wpisy to nie były "aktualizacje" tylko infekcje towarzyszące Sathurbot. "Serwer rejestru microsoft©" powinien był kierować na jakiś wpis używający regsvr32.exe do rejestracji modułów. W raporcie FRST podanym już na początku był następujący spis obiektów wyłączonych na poziomie Menedżera zadań Windows 8: ==================== MSCONFIG/TASK MANAGER disabled items ========= HKLM\...\StartupApproved\StartupFolder: => "ISCTSystray.lnk" HKLM\...\StartupApproved\StartupFolder: => "HP Digital Imaging Monitor.lnk" HKLM\...\StartupApproved\Run: => "Launch LCore" HKLM\...\StartupApproved\Run32: => "ROG HybriDisk" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKLM\...\StartupApproved\Run32: => "UpdReg" HKLM\...\StartupApproved\Run32: => "iTunesHelper" HKLM\...\StartupApproved\Run32: => "HP Software Update" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\StartupFolder: => "Logitech . Rejestracja produktu.lnk" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\StartupFolder: => "Torpedo.lnk" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "SearchProtection" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "uTorrent" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "YTPack" HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\StartupApproved\Run: => "Ujmedia" "YTPack" i "Ujmedia" (zresztą zgłaszane wcześniej w skanie Norton) to towarzystwo Sathurbot. Ten drugi odpowiada powiązaniom z regsvr32 - przykładowy temat to pokazujący: KLIK. Wyłączone wpisy infekcji już usuwałam w pierwszym skrypcie: C:\Users\User-PC\Appdata\Local\ujmedia C:\Users\User-PC\Appdata\Local\ytpack Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SearchProtection /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTPack /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Ujmedia /f

Wszystko zrobione. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Users\admin\Downloads\SpyHunter_4.17.6.4336 [Eng] + patch.rar C:\Users\admin\Downloads\SpyHunter 4.1.11.0 [ENG] program.exe C:\Users\admin\Downloads\SpyHunter-Installer.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Users\admin\AppData\Roaming\WorldofTanks RemoveDirectory: C:\Users\admin\Downloads\FRST-OlderVersion RemoveDirectory: C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP RemoveDirectory: C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wszystko zrobione. Ostatni skrypt - otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Marcinek\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

W podanym nowym raporcie nadal widać sterownik IOBit Protected Folder. I jeśli deinstalowałeś coś więcej niż było omawiane, to podaj nowy log FRST Addition. Odinstalowałeś Firefox omijając usuwanie profilu (deinstalator zadaje pytanie czy "usuwać dane użytkownika"), a wtyczki na poziomie rejestru w ogóle nie są usuwane deinstalacją Firefox. Jeśli chcesz przeładować Firefox całkowicie zera, to zestaw instrukcji podam.

Nie, Twoje logi "czyste" w tym kontekście. To tylko moja prewencja, by tego właśnie nie zepsuć. Wadliwy Kosz usunie FRST: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\$Recycle.Bin SearchScopes: HKU\S-1-5-21-2967589604-1285010922-3187333532-1001 -> DefaultScope {C0EB9A05-EF17-4461-833C-A325AE604335} URL = SearchScopes: HKU\S-1-5-21-2967589604-1285010922-3187333532-1001 -> {C0EB9A05-EF17-4461-833C-A325AE604335} URL = Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Pierwsza próba usuwania czegoś bez omijania Kosza powinna zregenerować powyższy folder.

W zakresie czyszczenia systemu kończymy. Usuń ręcznie pobrany FRST. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. I przypominam wątek:

Pokaż zrzut ekranu z okna CMD. Mówiłam tylko o wyłączeniu wtyczek w Firefox. Poza tym, podane raporty z FRST pokazują i tak całą grupę wtyczek Real w Firefox - świeżo doinstalowany Real Player. Doszło też więcej procesów. Czy go poprawnie odinstalowałeś przed użyciem AdwCleaner? I drobne poprawki - otwórz Notatnik i wklej w nim: S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Jaki cel ma mieć reinstalacja przeglądarki? Jak mówię, nic tu nie widzę w raportach (poza podejrzanym Torem), ale raporty nie przedstawiają pełnego stanu. Komputer wygląda na typ domenowy, raporty są robione z kontekstu konta "pma", ale jest tu kupa innych nie sprawdzonych kont (raporty FRST muszą być robione z każdego konta po kolei): Loaded Profile: pma (Available profiles: ja & bsz & mpe & mba & dda & abi & pma) Przy czym FRST nawet nie wykrywa tych kont (z wyjątkiem "ja") jako lokalnych, wszystko co widać to: ========================= Accounts: ========================== ASPNET (S-1-5-21-1644491937-839522115-682003330-1004 - Limited - Enabled) bibinet (S-1-5-21-1644491937-839522115-682003330-1005 - Limited - Enabled) FGAdmin (S-1-5-21-1644491937-839522115-682003330-500 - Administrator - Enabled) Gość (S-1-5-21-1644491937-839522115-682003330-501 - Limited - Disabled) ja (S-1-5-21-1644491937-839522115-682003330-1003 - Limited - Enabled) => %SystemDrive%\Documents and Settings\ja Pomocnik (S-1-5-21-1644491937-839522115-682003330-1000 - Limited - Disabled) SUPPORT_388945a0 (S-1-5-21-1644491937-839522115-682003330-1002 - Limited - Disabled)

Ja się pytam dla którego połączenia / czy dla wszystkich wykonujesz tę modyfikację. Co jest w Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > ile połączeń widać i czy wszystkie po kolei edytujesz?

Zasady działu na temat obowiązujących raportów: KLIK. Dostarcz logi z FRST, dodatkowo także USBFix z opcji Listing zrobiony przy podpiętym telefonie. Nie zostały zamienione, zostały ukryte przez atrybuty HS (= "ukryty systemowy"). W Opcjach folderów wyłącz opcję Ukryj chronione pliki systemu operacyjnego, a powinny się pokazać ukryte dane. Oczywiście to tylko włączenie ich pokazywania, dane trzeba przywrócić do stanu wyjściowego i tym zajmę się po otrzymaniu w/w raportów.

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-1762714656-3261685716-1016323744-1000\...\CurrentVersion\Windows: [Load] C:\Windows\system32\Microsoft.com HKU\S-1-5-21-1762714656-3261685716-1016323744-1000\...\Winlogon: [shell] explorer.exe, C:\Program Files (x86)\Microsoft Services\symgr.exe Startup: C:\Users\bumbel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\98a832f5a83b6c04035dbea2feaee7c3.exe () Startup: C:\Users\bumbel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Photoshopsetup.exe (Hewlett-Packard) Task: {44CABA34-D2CC-4D94-AE14-CA8881CFFE58} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Task: {5C5309EC-770B-4E0F-B7D1-592F400BC028} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {6C269CCB-60D3-44E7-858D-964B417BED35} - System32\Tasks\{484AE7CC-3BF9-4173-BA2C-A8BAA0CF1E3B} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {8276BD8B-6D23-40F4-871B-7CB991C1C85C} - System32\Tasks\{187B816C-50FC-467A-BFAB-1DC743EB59A2} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {970FA293-E178-40B4-8237-5BACC74A20E0} - System32\Tasks\{CADA324B-F34D-4A1D-96BD-C15414407279} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\3\SSCDUninstall.exe Task: {C64C3B33-4304-49FD-9868-667F976D3005} - System32\Tasks\{F34EE469-7FB7-4AA2-86BC-BCBDF2D590BC} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\1\SS_Uninstall.exe Task: {D64AF338-74B8-4C80-A80D-C39D5EB8D921} - System32\Tasks\Windows Update Check - 0x0BB102C9 => C:\ProgramData\svchost\qpqpdndnn.exe Task: {D7209499-68E3-46B8-8308-1126A9BFF65A} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files (x86)\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {DAB0A679-2F31-4729-93B0-FF35041704E4} - System32\Tasks\{83836A8F-50B9-42ED-9CD7-216AA8F3A71C} => pcalua.exe -a G:\RTG-2014-01-06\RTG\ax98.d309.daq\LDV.exe -d G:\RTG-2014-01-06\RTG\ax98.d309.daq Task: {EFCBBE80-CE8B-4489-A556-B27A541120BA} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe R2 Winstep Xtreme Service; C:\Program Files (x86)\Winstep\WsxService [X] S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] R3 cpuz136; \??\C:\Users\bumbel\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp HKU\S-1-5-21-1762714656-3261685716-1016323744-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp FF Homepage: www.wp.pl/?src01=dp C:\Program Files (x86)\HDD Health C:\Program Files (x86)\Microsoft Services C:\Program Files (x86)\Opera C:\Program Files (x86)\Razer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.0 C:\ProgramData\svchost C:\Users\bumbel\AppData\Local\*.exe C:\Users\bumbel\AppData\Local\Opera Software C:\Users\bumbel\AppData\Roaming\*.exe C:\Users\bumbel\AppData\Roaming\Winrar.exe.tmp C:\Users\bumbel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed C:\Users\bumbel\AppData\Roaming\Opera Software C:\Users\bumbel\Desktop\programy\Opera.lnk C:\Users\bumbel\Desktop\programy\Revo Uninstaller Pro.lnk C:\Users\bumbel\Desktop\programy\Total Commander 64 bit.lnk C:\Users\bumbel\Desktop\duperele\Battlefield 3.lnk C:\Users\bumbel\Desktop\duperele\Razer Comms.lnk C:\Users\Public\Desktop\GRIDAutosport.lnk C:\Windows\system32\Microsoft.com C:\Windows\SysWow64\*.tmp C:\Windows\SysWow64\Drivers\StarOpen.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Razer Comms" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa pliki. Dołącz też plik fixlog.txt.

Uruchom po prostu ponownie instalator Firefox: KLIK. Powinien uzupełnić braki.

Czy Opera jest nadal zainstalowana? Komendy w ogóle nie wykryły składników, które powinny być (AdwCleaner pokazywał ścieżki).