picasso

Zadania nie zostały wykonane w poprawny sposób. Porównaj mój post i przejścia do nowe linii z plikiem Fixlog - przy przeklejaniu zostały posklejane niektóre linie i wiele wpisów nie zostało przetworzonych. Przejścia do nowej linii wklejone do Notatnika mają wyglądać identycznie jak w moim poście. Wymagane poprawki: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File C:\Program Files (x86)\BuyNNSave C:\Program Files (x86)\BuyNsavee C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk C:\Users\ROBERT\AppData\Local\Google\Chrome C:\Users\ROBERT\AppData\Roaming\Software Informer C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk C:\Users\Default\Links\Współdzielona przestrzeń.lnk C:\WINDOWS\system32\Drivers\kgpfr2.cfg Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reboot: (Nic nie wspominasz czy "Software Informer" był deinstalowany. Jeśli nie - usuń ze skryptu linię kierującą na jego katalog) Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Wszystko na koncie Hollow, przecież AdwCleaner był uruchamiany w kontekście tego konta.

Następnym razem powstrzymaj się przed działaniami na własną rękę. W tym przypadku nie miało to znaczenia, ale mogłoby mieć. Widzę, że w AdwCleaner zmieniono numerowanie i teraz leci od 1 a nie 0, jak było poprzednio. Czy po wykonaniu ostatnich zaleceń są jakieś wyraźniejsze zmiany / poprawa pracy systemu? Jeśli nie, to już mówiłam, iż podejrzany jest mega rozbudowany pakiet 360 Internet Security. A teraz końcowe poprawki - otwórz Notatnik i wklej w nim: ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:52001;https=127.0.0.1:52001 C:\Users\Rafal\AppData\Local\MyWinLockerInstaller.txt-20141215.log C:\Users\Rafal\AppData\Local\{896A7B57-E8EF-477D-922C-CC56D9E3FC67} C:\Users\Rafal\AppData\Local\cache C:\Users\Rafal\AppData\Local\com C:\Users\Rafal\AppData\Local\CyberLink C:\Users\Rafal\AppData\Local\EgisTec C:\Users\Rafal\AppData\Local\lptmp1219580059 C:\Users\Rafal\AppData\Local\lptmp695454848 C:\Users\Rafal\AppData\Local\PunkBuster C:\Users\Rafal\AppData\Local\Speedchecker C:\Users\Rafal\AppData\Local\VS Revo Group C:\Users\Rafal\AppData\LocalLow\Google C:\Users\Rafal\AppData\Roaming\*.log C:\Users\Rafal\AppData\Roaming\mswinaplic.dll C:\Users\Rafal\AppData\Roaming\CyberLink RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Instrukcje niedoczytane, brakuje trzeciego pliku FRST Shortcut. Tak, obiekt niepożądany: KLIK. Gagatek inicjuje się via Harmonogram zadań (OTL nie skanuje tej sfery, dlatego widać to tylko w FRST): ==================== Scheduled Tasks (whitelisted) ============= Task: {18D32FD3-D9F5-493D-B8AC-EDED87B9D9F2} - System32\Tasks\FSSUpdaterService => C:\Users\kokix_000\AppData\Roaming\UpdaterService\FSSUpdaterService.exe [2014-07-23] () 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\user.js CMD: copy /y C:\Users\kokix_000\AppData\Roaming\Mozilla\Firefox\Profiles\ebfm7wye.default\prefs.js C:\Users\kokix_000\Desktop\prefs.js FF DefaultSearchUrl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1700389&SearchSource=3&q={searchTerms} FF Keyword.URL: FF Plugin: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> D:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {18D32FD3-D9F5-493D-B8AC-EDED87B9D9F2} - System32\Tasks\FSSUpdaterService => C:\Users\kokix_000\AppData\Roaming\UpdaterService\FSSUpdaterService.exe [2014-07-23] () Task: {3ABF479A-8C23-489C-8D63-C8BF0E9CFE31} - System32\Tasks\{FF348FC6-4D16-47B0-87EB-2224F9688F5E} => pcalua.exe -a C:\Users\kokix_000\Desktop\Downloads\DELL_WIRELESS-370-BLUETOOTH-_A02-1_R235898.exe -d C:\Users\kokix_000\Desktop\Downloads S1 Bfilter; \??\C:\Windows\System32\drivers\Bfilter.sys [X] S1 Bfmon; \??\C:\Windows\System32\drivers\Bfmon.sys [X] S0 Bhbase; System32\drivers\Bhbase.sys [X] S3 BHipsEx; \??\C:\Windows\System32\drivers\BHipsEx.sys [X] S1 Bnbase; System32\drivers\bnbasex.sys [X] S1 Bndef; \??\C:\Windows\System32\drivers\bndef.sys [X] S1 Bprotect; \??\C:\Windows\System32\drivers\Bprotect.sys [X] S3 dcdbas; \SystemRoot\System32\drivers\dcdbas32.sys [X] S3 DFUBTUSB; \SystemRoot\System32\Drivers\frmupgr.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfd.sys [X] C:\Program Files\Mozilla Firefox\plugins C:\Users\kokix_000\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\kokix_000\AppData\Roaming\Baidu C:\Users\kokix_000\AppData\Roaming\UpdaterService EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut. Dołącz też plik fixlog.txt. Na Pulpit skopiowałam plik prefs.js Firefoxa (zaśmiecony adware Conduit) - plik shostuj gdzieś i podaj link do niego.

1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy adware Babylon. 2. W AdwCleaner zastosuj sekwencję Szukaj + Usuń i zaprezentuj wynikowy log AdwCleanerS0.txt. 3. I dodaj na wszelki wypadek nowy log FRST z opcji Scan (włącznie z Addition) wykonany na koncie Hollow.

Fix wykonany. Na wszelki wypadek podaj jeszcze log z Farbar Service Scanner. Opisy infekcji: KLIK / KLIK "They are usually bundled with other third-party installers and keygens. They can also be downloaded from malicious or hacked websites, and through peer-to-peer file sharing applications." "The trojan is often included in the installation packages of programs downloaded from untrustworthy sources." W trayu to tylko dostęp do GUI się pokazuje. Tu chodzi o sterowniki: 14 czynnych sterowników, "wyłączanie" Nortona nie powoduje, że ustają ich czynności. W Trybie awaryjnym Windows sterowniki powinny być stopowane. Ale mówisz, że był także problem w awaryjnym. Nie wiem o co chodzi. Z opisu też wynika, iż skan jednak przeszedł dość daleko, bo pokazało "Unknown MBR code". Nawiasem mówiąc, ten wynik występuje przy niestandardowych konfiguracjach OEM. Przy finalizacji tematu zawsze usuwam z dysku ślady poprzednich skanerów. Tu na wszelki wypadek komenda "RemoveDirectory" (na okoliczność gdyby w folderze był jakiś zablokowany obiekt).

To nie jest inwigilacja, to prewencja przed zrobieniem sobie krzywdy i zapobieganie bezsensownej robocie. Użytkownicy zakładają temat równocześnie na dwóch różnych forach nie czekając na wyniki oceny sytuacji - o to tu chodzi. Jak to powinno wyglądać: zakładasz temat w jednym miejscu > oczekujesz na opinię > z tą opinią i nowymi danymi (stare logi są nieaktualne) udajesz się w inne miejsce, by pomagający miał pełny obraz sytuacji i nie nadział się na rzeczy nie odpowiadające bieżącej sytuacji. W tym szczególnym dziale są podawane skrypty usuwające i manipulujące w systemie. Przetwarzam tematy nie wiedząc, że na innym forum już coś robione jest i moje instrukcje są nieadekwatne (usuwanie rzeczy już usuniętych, sprzeczne instrukcje). Po wielu zdarzeniach tego rodzaju tu na forum, gdy to moja praca poszła do piachu i główkować musiałam co użytkownik robił, że się nic nie zgadza, ustaliłam konkretny punkt w zasadach działu. I gdy widzę, że temat jest gdzie indziej robiony, czekam, nie zaczynam żadnej analizy, bo dane są właśnie zmieniane na skutek cudzych ingerencji. Nie mam czasu szukać tematów użytkowników po wszystkich polskich forach jak leci, to jest obowiązek użytkownika podać maksimum danych. Nawet nie szukałam Twojego tematu celowo, on wpadł mi w oko przypadkowo podczas wyszukiwania czegoś zupełnie nie powiązanego. Prosiłam Cię wyraźnie o uzupełnienie określonych wątków. Nie opisałeś po co podajesz raporty do oceny, jaki jest problem w systemie. Same raporty bez przedstawienia w czym problem to za mało, bo nie wiadomo na czym koncentrować uwagę. Temat założony w dziale diagnostyki infekcji, czyli coś w ten sposób sugerujesz. W podanych raportach brak oznak infekcji i nic zupełnie z nich nie wynika, a system wygląda tak jakby niedawno był stawiany (?). Tak więc przedstaw jaki jest cel "analizy logów", co się dzieje, jaki jest problem. Dodatkowo, używałeś też ComboFix i na przyszłość: KLIK. A także AdwCleaner - dostarcz logi z folderu C:\AdwCleaner.

W systemie jest zainstalowane adware ClickCaption. I wygląda na to, że załatwił Cię portal dobreprogramy.pl: KLIK. Na dysku wyraźnie widać, że zaraz po pliku "Asystenta pobierania" powstał katalog wspominanego adware: 2014-12-09 22:47 - 2014-12-09 22:47 - 00000000 ____D () C:\Program Files\ClickCaption_1.10.0.4 2014-12-09 22:46 - 2014-12-09 22:46 - 00754240 _____ ( ) C:\Users\Jacek\Downloads\Free-Alarm-Clock(24929)-dp.exe Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: Click Caption 1.10.0.4, K-Lite Codec Pack Packages. Ten drugi to nie zasadniczy K-Lite tylko wrapper adware. - Stare wersje i zbędniki: Adobe Reader 9.5.5 - Polish, Bing Bar, J2SE Runtime Environment 5.0 Update 22, Japanese Fonts Support For Adobe Reader 9, Java™ 6 Update 25, MyFreeCodec, Opera 12.15, Opera 12.17, Skype Toolbars. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 KiesAllShare; C:\Program Files\Samsung\Kies\WiselinkPro\WiselinkPro.exe [X] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] HKLM\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA"&"inst=NwA3AC0ANAAzAD (the data entry has 389 more characters). HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\...\Run: [KiesTrayAgent] => C:\Program Files\Samsung\Kies\/\KiesTrayAgent.exe HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\...\Run: [GameXN GO] => "C:\ProgramData\GameXN\GameXNGO.exe" /startup HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CustomCLSID: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File Task: {2CFE622C-78CB-42BA-9AFA-3F523FD10574} - System32\Tasks\{5D163F9D-DF21-4637-A980-B3D16EBF2021} => pcalua.exe -a "C:\Program Files\RCP\unins000.exe" CHR StartupUrls: Default -> "hxxp://myhome.vi-view.com/?type=hp&ts=1418161647&from=cor&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX" C:\Users\Jacek\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Na przyszłość, w zestawie obowiązkowych logów jest GMER oraz nadal sprawdzam OTL. A podany tu log z FRST został zrobiony niezgodnie z zaleceniem, opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Modyfikacje Surfvox są chronione przez aktywnie uruchomione procesy nvxasync.exe, stąd niemożność usunięcia tego. Próbując usuwać problem używałeś wątpliwe skanery SpyHunter i YAC. Na temat YAC wypowiadałam się w tym temacie: KLIK. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj Akamai NetSession Interface, YAC(Yet Another Cleaner!). Natomiast deinstalator SpyHunter jest linkowany w Menu Start. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Run: [nvxasync] => C:\Users\Marcinek\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2014-12-07] () HKU\S-1-5-21-2106215166-627046832-3064983697-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2014-12-07] () HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2106215166-627046832-3064983697-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.onet.pl StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> 872BAC5B89A048ACB67BD7A82275C53B URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {184CE823-A5CB-4281-B074-3989133ACA11} URL = http://www.bing.com/search?FORM=U218DF&PC=U218&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {EB0ECFCF-19BE-4038-BEE7-5C935107440A} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-2106215166-627046832-3064983697-1001 -> {EDE103DA-CC2F-42BE-A6BA-4823336B7BDC} URL = http://www.idg.pl?q={searchTerms} Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Task: {377B90E7-6344-468B-8F27-12C3F048B769} - System32\Tasks\{7690B874-BE3B-45E4-99D9-72C3305ECCE2} => pcalua.exe -a F:\Pobrane\vs_emulator.exe -d F:\Pobrane Task: {3875E1E4-D95A-4459-B84E-D87D450970DB} - System32\Tasks\{439BB14A-606C-4365-8AE0-389AA3FB6D31} => pcalua.exe -a F:\Pobrane\vcredist_x86.exe -d F:\Pobrane Task: {42C679AC-B28D-472C-94E4-BE7E13EAFCA1} - System32\Tasks\{AE083B0E-FFB3-4BF8-8696-2E95D34F580A} => pcalua.exe -a D:\INTRO.EXE -d D:\ Task: {94ED230D-D5BA-4F8A-9DB6-784F3829CBBE} - System32\Tasks\{5C03ABBF-F447-422F-876B-DC148093E72E} => pcalua.exe -a C:\Users\Marcinek\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\Marcinek\Downloads Task: {CF48426F-89A1-4219-ABCA-E6E44DEA22CC} - System32\Tasks\{2C5899DB-3837-4D8C-879F-B2146BE5B165} => pcalua.exe -a F:\Pobrane\Shockwave_Installer_Slim(1).exe -d F:\Pobrane Task: {D4714768-458E-4E29-9499-8416AD240800} - System32\Tasks\{65817472-C58A-4B7B-AC18-B7CB65038F47} => D:\INSTALUJ.EXE Task: {F0E8FBEB-4AD5-4363-9FBE-E6B548D4A1EE} - System32\Tasks\{D35874CC-F5A9-4B52-8C42-03F881AE39B2} => pcalua.exe -a F:\Pobrane\vcredist_x64.exe -d F:\Pobrane Task: {F3DD4DCB-8114-42AC-8470-451525B808F0} - System32\Tasks\{38009BCC-CDB3-4F39-AA17-AD56CF749B39} => D:\INSTALUJ.EXE HKU\S-1-5-21-2106215166-627046832-3064983697-1001\Software\Classes\.exe: exefile => S4 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2151232 2013-12-02] (IObit) S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] C:\Program Files (x86)\IObit C:\ProgramData\nvxasync C:\Users\Marcinek\AppData\Roaming\fpacked.exe C:\Users\Marcinek\AppData\Roaming\fportable C:\Users\Marcinek\AppData\Roaming\nvxasync Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type C:\Users\Marcinek\AppData\Roaming\Mozilla\Firefox\Profiles\d7zv33sz.default\searchplugins\starter.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. I mam pytanie: czy modyfikacje stron startowych / nowych kart Firefox i Google Chrome na onet.pl to celowe ustawienie? Coś za dużo tych modyfikacji Onet, ale na razie ruszyłam tylko ustawienia IE sprowadzając do domyślnych systemu.

Tak, widzę rozszerzenie adware Podoweb w Firefox. W systemie ogólnie są tylko odpadki adware. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-3986171964-2154234651-2632850357-1000\...\Run: [EpicScale] => (the data entry has 824 more characters). Task: {B13861EC-7F51-4B95-A710-BB9976C53BF4} - System32\Tasks\{6752A596-7694-4774-B095-07498C95CBED} => pcalua.exe -a "C:\Users\DELL\Desktop\Deform-2D v8.1\Drivers\SSD5411-32bit.exe" -d "C:\Users\DELL\Desktop\Deform-2D v8.1\Drivers" C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\EpicScale EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus należy przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Możesz skasować plik C:\Delfix.txt z dysku. Wyniki skanu ESET: - System Volume Information to folder Przywracania systemu, a pokazane rekordy to kopie elementów adware zachowane w ounktach Przywracania. Zadałam powyżej czyszzenie tych folderów. - Plik(numery)-dp.exe to śmieć "Asystent pobierania" dobrychprogramów nastawiony na instalację adware: KLIK.

Twój opis mnie wprowadził w błąd - myślałam, że powrócił. - Owszem teraz operacja z DelFix i czyszczeniem folderów Przywracania systemu oraz aktualizacja OpenOffice.org (obecna w systemie wersja nie umie korzystać z najnowszej Java, a stara Java = infekcja tego typu). - Na wszelki wypadek należy także całkowicie zmienić login do banku. Obecnie posiadany jest podejrzany / trefny.

Ja nie pytam w jaki sposób go usuwałeś, bo widać po danych że go nie było, tylko czy on po usuwaniu FRST wrócił / ile razy był usuwany już po przedstawieniu logów wcześniej? Pytam, gdyż powiedziałeś "dziś mi kolejny raz zablokowalo konto". Fix wykonany.

Temat związany z systemem Windows rozwiązany, więc zamykam. W razie dalszych kłopotów z kolejnymi urządzeniami zdefektowanymi w ten sam sposób poproś o otworzenie tematu via PW.

Czy mam rozumieć, że wpis GohoGyatr.dat ponownie powrócił już po usuwaniu FRST? Gdy Fix FRST się wykonywał, folderu infekcji już nie było na dysku. W nowych logach nic czynnego nie ma, za to były operacje w msconfig, bo tam owszem jest ów wpis infekcji wyłączony. Znaleziska w AdwCleaner nie powiązane z główną infekcją - to podrzędne adware. A DelFix służy od usuwania narzędzi a nie infekcji. Poprawka na wpisy w msconfig. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GohoGyatr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kasper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KTSInit" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Jasne. Owszem, widać to w FRST Addition: ==================== Faulty Device Manager Devices ============= Name: Zewnętrzne urządzenie Bluetooth Description: Zewnętrzne urządzenie Bluetooth Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Zewnętrzne urządzenie Bluetooth Description: Zewnętrzne urządzenie Bluetooth Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Z kolei na liście zainstalowanych jest ta instalacja: ==================== Installed Programs ====================== Bluetooth Win7 Suite (64) (HKLM\...\{230D1595-57DA-4933-8C4E-375797EBB7E1}) (Version: 7.2.0.65 - Atheros Communications) Dzięki!

FRST, OTL i GMER to obowiązkowe logi, DDS nie (usuwam). W systemie jest ogromna ilość sterowników adware i innych niepożądanych komponentów. Metoda nabycia świństw to jeden z tych sposobów: KLIK. Nie jest jednak pewne czy to ma jakikolwiek związek z opisywanym błędem - mogą być to dwie odrębne sprawy. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {0df690c1-d9b3-4141-afdc-d714e19d9a12}w64; C:\Windows\System32\drivers\{0df690c1-d9b3-4141-afdc-d714e19d9a12}w64.sys [48776 2014-10-14] (StdLib) R1 {122dd706-8b40-4a1c-86fc-9ffea684e767}w64; C:\Windows\System32\drivers\{122dd706-8b40-4a1c-86fc-9ffea684e767}w64.sys [48776 2014-10-14] (StdLib) R1 {1451f279-8b19-43e6-92be-fda8b8d810d7}w64; C:\Windows\System32\drivers\{1451f279-8b19-43e6-92be-fda8b8d810d7}w64.sys [48776 2014-10-15] (StdLib) R1 {1ffea19d-7c99-423a-a198-c6b90ff23847}w64; C:\Windows\System32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}w64.sys [48776 2014-10-19] (StdLib) R1 {29939914-f8df-4dc3-800d-6e4253a04e3e}w64; C:\Windows\System32\drivers\{29939914-f8df-4dc3-800d-6e4253a04e3e}w64.sys [48776 2014-10-16] (StdLib) R1 {372d03ae-4cb6-4087-9149-bc1c4bc6238d}w64; C:\Windows\System32\drivers\{372d03ae-4cb6-4087-9149-bc1c4bc6238d}w64.sys [48776 2014-10-17] (StdLib) R1 {3e621eab-ed2c-4c84-aec5-15b99c4c467e}w64; C:\Windows\System32\drivers\{3e621eab-ed2c-4c84-aec5-15b99c4c467e}w64.sys [48776 2014-10-18] (StdLib) R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [44728 2014-09-16] (StdLib) R1 {6c040542-e4d8-449f-9075-ee080e3c93a3}w64; C:\Windows\System32\drivers\{6c040542-e4d8-449f-9075-ee080e3c93a3}w64.sys [48776 2014-10-17] (StdLib) R1 {79ff6e5c-8913-4b1b-8d72-66f9fa5a754e}w64; C:\Windows\System32\drivers\{79ff6e5c-8913-4b1b-8d72-66f9fa5a754e}w64.sys [48776 2014-10-20] (StdLib) R1 {a3650fd0-e039-4b5a-b4cd-52f4d60871bd}w64; C:\Windows\System32\drivers\{a3650fd0-e039-4b5a-b4cd-52f4d60871bd}w64.sys [48776 2014-10-22] (StdLib) R1 {b75d34e3-cf9c-41d4-bb80-1d1cbdd91a2e}w64; C:\Windows\System32\drivers\{b75d34e3-cf9c-41d4-bb80-1d1cbdd91a2e}w64.sys [48776 2014-10-21] (StdLib) R1 {bfb10c93-5530-4015-9a3f-61dfa880af58}w64; C:\Windows\System32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}w64.sys [48776 2014-10-22] (StdLib) R1 {d26c8a52-bad3-4ccc-827a-07a116647557}w64; C:\Windows\System32\drivers\{d26c8a52-bad3-4ccc-827a-07a116647557}w64.sys [48776 2014-10-16] (StdLib) R1 {e90ad290-24ce-44cf-8a63-caa4cb6f0cbb}w64; C:\Windows\System32\drivers\{e90ad290-24ce-44cf-8a63-caa4cb6f0cbb}w64.sys [48776 2014-10-16] (StdLib) S4 Update webget; C:\Program Files (x86)\webget\updatewebget.exe [523544 2014-10-29] () S4 Util webget; C:\Program Files (x86)\webget\bin\utilwebget.exe [523544 2014-10-29] () U3 catchme; \??\C:\ComboFix\catchme.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-746962273-3746358900-1730051239-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-746962273-3746358900-1730051239-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-746962273-3746358900-1730051239-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-746962273-3746358900-1730051239-1000 -> {926697FC-E360-4A72-B5B0-5F5AB7C5E17A} URL = http://rts.dsrlte.com/?q={searchTerms}&r=926 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird FF HKU\S-1-5-21-746962273-3746358900-1730051239-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) Task: {5ABA170B-9F1C-430C-A3F4-746551D4A453} - System32\Tasks\{69771687-76DA-4214-99DB-C7BF3E69A9A1} => pcalua.exe -a C:\Users\Asus\Downloads\vcredist_x64.exe -d C:\Users\Asus\Downloads C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\webget C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\TEMP C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Asus\Desktop\Continue Nokia Monitor Test Installation.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{0df690c1-d9b3-4141-afdc-d714e19d9a12}w64.sys C:\Windows\System32\drivers\{122dd706-8b40-4a1c-86fc-9ffea684e767}w64.sys C:\Windows\System32\drivers\{1451f279-8b19-43e6-92be-fda8b8d810d7}w64.sys C:\Windows\System32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}w64.sys C:\Windows\System32\drivers\{29939914-f8df-4dc3-800d-6e4253a04e3e}w64.sys C:\Windows\System32\drivers\{372d03ae-4cb6-4087-9149-bc1c4bc6238d}w64.sys C:\Windows\System32\drivers\{3e621eab-ed2c-4c84-aec5-15b99c4c467e}w64.sys C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys C:\Windows\System32\drivers\{6c040542-e4d8-449f-9075-ee080e3c93a3}w64.sys C:\Windows\System32\drivers\{79ff6e5c-8913-4b1b-8d72-66f9fa5a754e}w64.sys C:\Windows\System32\drivers\{a3650fd0-e039-4b5a-b4cd-52f4d60871bd}w64.sys C:\Windows\System32\drivers\{b75d34e3-cf9c-41d4-bb80-1d1cbdd91a2e}w64.sys C:\Windows\System32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}w64.sys C:\Windows\System32\drivers\{d26c8a52-bad3-4ccc-827a-07a116647557}w64.sys C:\Windows\System32\drivers\{e90ad290-24ce-44cf-8a63-caa4cb6f0cbb}w64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update webget" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util webget" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware webget. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (do włączenia ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy błąd nadal występuje.

Jaro69, proszę przeczytaj zasady co tu się dostarcza, bo brak danych o systemie: KLIK. Proszę dostarczyć logi z FRST, OTL, GMER.

DelFix zgodnie z planem, możesz usunąć plik C:\Delfix.txt z dysku. Czy poradziłeś sobie z przekierowaniami na telefonie?

W podanych raportach żadnych czynnych obiektów infekcji. Jeśli problemy nadal występują już po czyszczeniu adware, przyczyną nie jest adware - podejrzenia budzi strona przeciwna, a konkretnie COMODO (zwłaszcza) i/lub Avast. - Pierwszy rekord to nie błąd lecz ostrzeżenie i jest do zignorowania. "By design". Te ostrzeżenia produkują modyfikacje wartości AppInit_DLLs, i to niezależnie czy są od poprawnego programu czy od szkodliwego. I to jakaś nieświeża sprawa, bo w logu w ogóle nie ma takiej modyfikacji widzianej. - Drugi rekord to szczątkowy sterownik adware Click Caption, nie ładuje się = nie ma wpływu na system. Wg FRST sterowniki (dwa) od emulacji są uruchomione... R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2013-10-28] (DT Soft Ltd) R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-05-06] (Duplex Secure Ltd.) Inne przeszkody: COMODO + Avast w tle. W podsumowaniu - tylko drobne korekty kosmetyczne, nie mają związku z przyśpieszeniem / "odwieszaniem" systemu: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 ASPI; C:\Windows\SysWOW64\DRIVERS\ASPI32.sys [84832 2002-07-17] (Adaptec) [File not signed] S3 StarOpen; No ImagePath S1 ccnfd_1_10_0_4; system32\drivers\ccnfd_1_10_0_4.sys [X] S3 cpuz134; \??\C:\Users\Tomasz\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] Task: {A7BA112B-32CA-426A-AFAF-03FE2DB9A9B9} - System32\Tasks\{5F3E0490-7D36-4EE5-9874-8F6B63A16F2F} => pcalua.exe -a C:\Users\Tomasz\Downloads\wmp11-windowsxp-x86-PL-PL.exe -d C:\Users\Tomasz\Downloads Task: {D2B2E1F9-2835-45B6-9845-4D63C93E98DB} - System32\Tasks\{308914FC-20A1-405D-9697-BA8E5F547294} => pcalua.exe -a "C:\Program Files (x86)\City Interactive\Art of Murder - The Secret Files\MystSetupVideo.exe" -d "C:\Program Files (x86)\City Interactive\Art of Murder - The Secret Files" ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141213 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141213 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-982444412-3476734116-3304893916-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141213 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\PopCap Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games C:\ProgramData\PopCap Games C:\ProgramData\TEMP C:\ProgramData\Trymedia C:\Users\Tomasz\AppData\Roaming\VSRevoGroup\RevoUninstaller\ADAU\McAfee Security Scan Plus.lnk C:\Windows\system32\Drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\SysWOW64\DRIVERS\ASPI32.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COODo przeszkodzi FST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Usuwam numer GG z posta, prosisz się o spam. Na temat używania ComboFix: KLIK. Proszę dostarczyć raporty obowiązkowe w tym dziale: KLIK.

Wojak proszę wróć do zasad działu, bo już od dawna jest wymagany inny komplet logów: KLIK. Uzupełnij obowiązkowe raporty z FRST. Nawiasem mówiąc, GMER także jest obowiązkowy...

Chodzi o to, czy proces zaczął usuwać z dysku jakieś obiekty Google, np. folder C:\Program Files (x86)\Google\Chrome. Ale wątpię w to, w przeciwnym wypadku nie pytałabyś się o co chodzi. Zrozumiałam, że odwiedzasz konkretne lokalizacje i wiesz co i gdzie pozostało, a nie wyszukiwane ich dopiero. Ja nie mogę wiedzieć co zwróci Ci wyszukiwarka i czy można to bez zastanowienia usuwać. Przejrzyj ręcznie poniższe foldery: C:\Program Files C:\Program Files (x86) C:\Program Files\Common Files C:\Program Files (x86)\Common Files C:\ProgramData C:\Users\asus\AppData\Local C:\Users\asus\AppData\LocalLow C:\Users\asus\AppData\Roaming + Menu Start.

DNS pobierane z routera pomyślnie skorygowane: Tcpip\Parameters: [DhcpNameServer] 192.168.88.1 Fix też wykonany i problemu przekierowań na tym komputerze już nie powinno być. Na koniec: Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Nic mi o tym nie wiadomo. Sytuacja raczej wskazuje, że coś nie jest doczyszczone w telefonie - może być to cache DNS. W widzianym tu Windows już to adresowałam komendą ipconfig /flushdns. Niestety na Androidzie nie ma odpowiednika. Jeśli nie pomaga regulacja DNS w telefonie, to może trzeba wykonać trwardy reset telefonu: KLIK. Oczywiście zakładam, że problemem nie jest któraś sieć (inny router), do której jest wpinany telefon.

Oczywiście nie ma oznak deinstalacji w innych częściach systemu? W tej sytuacji przejdź już po prostu do nakładkowej instalacji Google Chrome. Gdy ją ukończysz, usuń foldery starszych wersji: C:\Program Files (x86)\Google\Chrome\Application\x.x.x.x To już ręcznie.