picasso

Tu wszystko się zgadza. Jest zainstalowany Kaspersky Internet Security 2015. KIS składa się z kilku modułów (antywirus jest uruchamiany jako osobny proces). Cały majdan Kasperskiego: Ten skrót jest rzeczywiście uszkodzony i kieruje do nieistniejącego pliku, skrót usuń. W podanym powyżej logu Shortcut stoi: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\3.0.195.27\Installer\setup.exe (No File) To kierunek na jakąś super starą wersją: C:\Program Files (x86)\Google\Chrome\Application\3.0.195.27\Installer Powinno być skierowanie na plik wersji, która była w Panelu sterowania: C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.71\Installer Instalacja nowszej wersji "na starszą", a także i normalna aktualizacja, powoduje że mnożą się w/w foldery oznaczające wersję, choć Google Chrome i tak korzysta z najnowszej: C:\Program Files (x86)\Google\Chrome\Application\x.x.x.x Po instalacji nakładkowej / aktualizacji można ręcznie usunąć wszystkie foldery wersji starszych niż obecna. Proponuję wykonać następującą akcję: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Google Update Helper > Dalej. 2. Sprawdź czy istnieje plik C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.71\Installer\setup.exe. ----> Jeśli tak, to Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako Administrator" > wklej poniższą komendę i ENTER: "C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.71\Installer\setup.exe" --uninstall --multi-install --chrome --system-level ----> Jeśli nie, to uruchom nakładkowo pobrany instalator Google Chrome.

Nie wiem, ale raczej sądzę, że jest to prędzej kwestia uruchomionych procesów (wyłączenie Nortona wcale nie wyłącza jego sterowników), aniżeli konfiguracji sprzętowej. Infekcja została storpedowana. Wszystko wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2705356706-2563623633-1834157682-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\User-PC\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Czy notujesz poprawę działania sieci po przeprowadzonych operacjach? Wszystko zrobione. Drobne poprawki: NA KONCIE HolloW: Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. NA KONCIE Dom: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-400919767-554095329-431794452-1003\...\Run: [GG] => "C:\Users\HolloW\AppData\Local\GG\Application\gghub.exe" HKU\S-1-5-21-400919767-554095329-431794452-1003\...\Run: [Facebook Update] => "C:\Users\HolloW\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver HKU\S-1-5-21-400919767-554095329-431794452-1003\...\Run: [DAEMON Tools Lite] => "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Fix wykonany. Nie odpowiedziałeś mi na pytanie, czy Dll-Files.com został odinstalowany - jeśli nie, to go odinstaluj, tylko szkód możesz nim narobić na Windows 8.1. Co do pytania na temat "dobrego programu do czyszczenia systemu": ale w jakim kontekście (malware, pliki tymczasowe, inne)?

Babylon to wątpliwy producent: KLIK. Ale samo "wyszarzenie" rozszerzenia w Google Chrome nie świadczy o tym. Czasem programy instalowane globalnie (w tym antywirusy) i wprowadzające rozszerzenie w przeglądarce mogą powodować, że jest ono niemożliwe do deinstalacji w singlu. Dopiero przestawienie jakiejś opcji w programie lub całkowita deinstalacja programu je usuwa. To już nie problem. To kopia jednego z plików Babylon w folderze Przywracania systemu (System Volume Information). Czyszczenie tego obszaru zawsze zadaję na końcu. Operacje pomyślnie przeprowadzone, potwierdzasz ustąpienie problemu, więc kończymy: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń ręcznie pobrane narzędzia z folderu D:\Software\@Security\@odsyfianie. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wtyczki Adobe Flash dla IE i Firefox: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 15.0.0.167 - Adobe Systems Incorporated) Adobe Flash Player 15 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 15.0.0.152 - Adobe Systems Incorporated)

W Firefox rezyduje adware BuyNsavee. Wdróż następujące działania: 1. Jeśli Software Informer 1.4.1181.0 to nie była celowa instalacja, odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=101&systemid=488&v=r13614--15857&apn_uid=4547298952504485&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} BHO: BuyNNSave -> {18a93809-7420-401b-ac61-79b242c2f51d} -> C:\Program Files (x86)\BuyNNSave\pUMiPTdgwoaYyg.x64.dll No File Toolbar: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab FF Plugin-x32: @videolan.org/vlc,version=2.0.0 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File FF Plugin-x32: @videolan.org/vlc,version=2.0.1 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll No File Task: {0A7511F4-5319-44DF-B834-8B3CC7A6A6DA} - System32\Tasks\{64D055BC-F598-4512-A54E-47520116069B} => pcalua.exe -a C:\PROGRA~2\DAP\DAPREMOVE.EXE Task: {20F975CC-8A57-42DC-8E76-4CABE97234B7} - System32\Tasks\{BB5D7A52-0154-4139-B121-683BC4053380} => pcalua.exe -a C:\Users\ROBERT\Downloads\vkaraoke.exe -d C:\Users\ROBERT\Downloads Task: {5305363D-8BD6-405F-B8B0-710258607E8C} - System32\Tasks\{AF9827A6-6DF8-4459-93E6-48A559FA83B4} => pcalua.exe -a "C:\Users\ROBERT\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DK637ADD\AACplus_plugin_WMP.exe" -d C:\Users\ROBERT\Desktop Task: {96DE469F-885C-4AA1-B97C-C6B9215D837F} - System32\Tasks\SoftwareInformerService => C:\Program Files\Software Informer\softinfo.exe [2014-11-06] (Informer Technologies, Inc.) Task: {B6327E27-30A4-48AD-B453-460789E69CCD} - System32\Tasks\{DA098A3A-F4B9-4887-ADDE-411926A402F9} => pcalua.exe -a C:\Users\ROBERT\Desktop\AdobeAIRInstaller.exe -d C:\Windows\system32 Task: {BA806633-2F9D-4256-A96F-0335002A3136} - System32\Tasks\{C24B64B4-F3FD-4185-BEE5-92220DD765FE} => pcalua.exe -a C:\Users\ROBERT\Desktop\ASIO4ALL_2_11_Beta1_English.exe -d "C:\Program Files (x86)\Mozilla Firefox" HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\Software\Classes\exefile: HKU\S-1-5-19\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Run: [software Informer] => C:\Program Files\Software Informer\softinfo.exe [1218560 2014-11-06] (Informer Technologies, Inc.) HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\RunOnce: [Adobe Speed Launcher] => 1418578953 HKU\S-1-5-21-1870149809-1083462296-2641342695-1000\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKU\S-1-5-18\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Corporation) HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\ROBERT\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-1870149809-1083462296-2641342695-1000_Classes\CLSID\{F0D5B8DF-FA50-4AC1-B644-6DD3DABA2DC0}\InprocServer32 -> 42494E41525953545245414D030000000300000052D48160B572D4C00354FCEE3ABED63BBA0AAE64C0760C4D64FCE9F56AA8 (the data entry has 10 more characters). S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] U3 idsvc; No ImagePath S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] C:\Program Files (x86)\BuyNNSave C:\Program Files (x86)\BuyNsavee C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\14305879245515429196 C:\ProgramData\fncnbnomaoapockccnejckejpoblhikh C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Muzyczne Radio Player\Strona WWW programu Muzyczne Radio Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\vanBasco's Karaoke Player C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java Development Kit\Java Mission Control.lnk C:\Users\ROBERT\AppData\Local\Google\Chrome C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\ROBERT\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK C:\Users\ROBERT\Links\Współdzielona przestrzeń.lnk C:\Users\Default\Links\Współdzielona przestrzeń.lnk C:\WINDOWS\system32\Drivers\kgpfr2.cfg C:\WINDOWS\system32\Drivers\kgpcpy.cfg C:\WINDOWS\SysWOW64\Drivers\kgpfr2.cfg Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /s Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ALLUpdate /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Ashampoo HDD-Control 2 Guard" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Google Image Search i VideoGet) trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Kaspersky był zablokowany, ale nie ESET: HKLM Group Policy restriction on software: C:\Program Files\Kaspersky Lab Deinstalacja zdefektowanego programu to tylko ukrycie problemu, a nie jego rzeczywiste rozwiązanie. Przy kolejnej instalacji produktów Kasperskiego znów byłaby niespodzianka. Na szczęście to dedykował już Fix. Poza tym, ten "nowy" ESET to stara edycja sprzed dwóch lat i jeszcze scrackowana. Nie, ShopperPro (adware) nie ma związku. Blokadę wprowadziła konkretna infekcja: HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [GohoGyatr] => regsvr32.exe "C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr\GohoGyatr.dat" Przetwarzanie mojego Fixa, gdy zmieniłeś zupełnie konfigurację skanami, było niezasadne. Fix nie wykona rzeczy, które zostały zrobione innym skanerem - określone wyniki w Fixlog są typu "not found". Na przyszłość: jeśli niecierpliwisz się i zaczynasz grzebać samodzielnie (to zmienia stan w raportach), musisz zarzucić polecenia Fix (one są ściśle dopasowane do konkretnego widoku raportu) > zrobić nowe logi i opisać co namieszałeś. Przedstaw wyciągi ze skanerów co usuwałeś.

Chodziło mi o stare, przedstawiające to co robiłeś przed założeniem tematu. Nowy odczyt pokazuje szczątki adware, ale tu jeszcze Kilka drobniejszych komend w skrypcie się nie wykonało (literówki). Lecimy z kolejnymi poprawkami: 1. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. 2. Odinstaluj jeszcze stare wersje Adobe, developerskie wersje Java. Dodatkowo: jeśli nie używasz, pozbądź się niektórych programów zintegrowanych z Acer (np. MyWinLocker). ==================== Installed Programs ====================== Acer Registration (Version: 1.02.3006 - Acer Incorporated) Acrobat.com (Version: 1.6.65 - Adobe Systems Incorporated) Adobe AIR (Version: 1.5.0.7220 - Adobe Systems Inc.) Adobe Flash Player 12 ActiveX (Version: 12.0.0.77 - Adobe Systems Incorporated) Adobe Shockwave Player 11.6 (Version: 11.6.3.633 - Adobe Systems, Inc.) Identity Card (Version: 1.00.3003 - Acer Incorporated) Java SE Development Kit 7 Update 7 (HKLM-x32\...\{32A3A4F4-B792-11D6-A78A-00B0D0170070}) (Version: 1.7.0.70 - Oracle) JavaFX 2.1.1 (Version: 2.1.1 - Oracle Corporation) MyWinLocker (Version: 3.1.76.0 - Egis Technology Inc.) Windows Live Essentials (Version: 15.4.3555.0308 - Microsoft Corporation) 3. Przed usunięciem sterownika AVG utwórz ręcznie pukt Przywracania systemu. Gdyby coś poszło nie tak, to zawsze będzie można uruchomić komputer przez F8 > Napraw komputer > Przywracanie systemu (z wyborem tego świeżego punktu po czyszczeniu systemu). 4. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 Avgdiska; C:\Windows\System32\DRIVERS\avgdiska.sys [152344 2014-06-30] (AVG Technologies CZ, s.r.o.) HKU\S-1-5-21-3998210539-3065520669-1277161271-1000\...\RunOnce: [Adobe Speed Launcher] => 1418569094 Toolbar: HKU\S-1-5-21-3998210539-3065520669-1277161271-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\FlashGet Network C:\Program Files (x86)\Temp C:\Program Files (x86)\UnRar for Windows C:\Program Files\Common Files\Bitdefender C:\ProgramData\ApPure C:\ProgramData\BDLogging C:\ProgramData\Bitdefender C:\ProgramData\DAEMON Tools Lite C:\ProgramData\DAEMON Tools Pro C:\ProgramData\Google C:\ProgramData\InstallMate C:\ProgramData\Logs C:\ProgramData\Make A Voozie C:\ProgramData\McQcModifier-5c47-a7b0 C:\ProgramData\PS.log C:\ProgramData\SiteAdvisor C:\ProgramData\Skype Extras C:\ProgramData\VS Revo Group C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\Users\wangzhisong C:\Windows\System32\DRIVERS\avgdiska.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f CMD: dir /a C:\Users\Rafal\AppData\Local CMD: dir /a C:\Users\Rafal\AppData\LocalLow CMD: dir /a C:\Users\Rafal\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, powstanie kolejny plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt i log AdwCleaner[s0].txt.

Tylko zapytam: czym był dyktowany format? Czy był inny powód niż drobne adware w Opera?

Przeklej z dzienników Avast dokładną ścieżkę dostępu, to mógł być fałszywy alarm, sama nazwa nie wystarczy do oceny. Ogólnie adware nie zostało dobrze wyczyszczone (nadal widać obiekty astromenda.com i lasaoren.com) i jest tu jeszcze co robić, ale spowolnienie systemu to odrębna sprawa nie powiązana z tym - żadnych czynnych procesów adware/malware, więc się wręcz nasuwa że problem tworzy Avast i/lub MBAM. Ponadto, ten Avast mi wygląda na nakładkowo aktualizowany od bardzo starych wersji. Może warto go całkowicie odinstalować, a następnie zainstalować "na czysto" z nowego instalatora. Pod kątem czyszczenia adware, wpisów odpadkowych i licznych zbędnych przekierowań Yahoo (wstawione przez Avast): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-251121527-2021168873-2295293381-1000\...0c966feabec1\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Magda\AppData\Local\MICROS~1\Windows\TEMPOR~1\Content.IE5\LNOA2PVZ\BESTPL~1.EXE No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{B6CE1A28-A831-43E4-A81F-E2B429D66231}\InprocServer32 -> C:\Users\Magda\AppData\Local\ASKTOO~1\DOWNLO~1\Nero.dll No File CustomCLSID: HKU\S-1-5-21-251121527-2021168873-2295293381-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File Task: {0D81B941-5BCB-4412-9B51-A7EB872263C2} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-251121527-2021168873-2295293381-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {40695F6B-C7D2-4821-942D-2C2138508A36} - System32\Tasks\{965B7CB1-17A7-4F48-B9D9-1D69D9E793DD} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.111/en/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;userdeclined,google-chrome:notoffered;systemlevelpresent Task: {44E1CFD7-5443-4B12-819C-9C23D3980BEA} - System32\Tasks\{110CF5B1-6F5B-42FF-B866-2797758CB47E} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {46BEDFB8-2690-4677-9E96-A71AF5588D08} - System32\Tasks\{C028360A-DC07-44AC-A9CB-9FC66B828C1F} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {4FCBA4B1-2569-4CAF-8593-5EDFF3736229} - System32\Tasks\{CCC96478-C7F9-4A01-91B3-5D1C5DBE099D} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.113/en/abandoninstall?page=tsPlugin&installinfo=google-toolbar:notoffered;userdeclined,google-chrome:notoffered;systemlevelpresent Task: {661CDEEE-EE33-4C0F-9F40-EEC5F7D9E060} - System32\Tasks\{C534BC0B-078B-476C-B2D0-9BA77393A598} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/pl/go/help.faq.installer?LastError=1638 Task: {89BCAF6F-963E-4708-9AFA-9B9AC38523B0} - \WSE_Astromenda No Task File Task: {C6A1977F-93EB-44CD-8202-6B6FEBFFAFAB} - \WSE_Lasaoren No Task File Task: {DE6D5A83-55AB-401F-A612-B68182A7C9E8} - System32\Tasks\{7BB4C0E6-C61A-4319-A4AF-795947945B81} => Iexplore.exe http://ui.skype.com/ui/0/5.1.0.112/en/abandoninstall?page=tsMain&installinfo=google-toolbar:offered-installed,google-chrome:notoffered;toolbaroffered Task: {E2E7B910-9400-492F-B96D-AE7BC13CDE86} - System32\Tasks\{8A3011FD-BDCE-4134-9D03-482975D330A9} => Iexplore.exe http://ui.skype.com/ui/0/6.3.0.107/en/abandoninstall?page=tsProgressBar Task: {F5333235-BEAA-4596-80C9-D0E96606BE7B} - System32\Tasks\{6DA37219-06DA-4329-9505-604EAE013CD7} => Iexplore.exe http://ui.skype.com/ui/0/6.16.0.105/en/go/help.faq.installer?LastError=1638 Task: {F99D3FD8-06F3-4443-BDBD-1CED0B96029F} - System32\Tasks\Installation App Launcher => C:\Program Files\Lexmark 3600-4600 Series\ezprint.exe Task: {FEAE8A46-DAE8-4BBE-9B87-56197770B2D5} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-251121527-2021168873-2295293381-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe HKU\S-1-5-21-251121527-2021168873-2295293381-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x00000000 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.yahoo.com/?fr=hp-avast&type=agc511 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://uk.yahoo.com/?fr=hp-avast&type=agc511 HKU\S-1-5-21-251121527-2021168873-2295293381-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://uk.yahoo.com/?fr=hp-avast&type=agc511 StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://Lasaoren.com/results.php?f=4&q={searchTerms}&a=lrn_ir_14_45_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDyEtDtN1L2XzutAtFyCtFtDtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCtCzz0C0C0C0B0BtGzz0EyCtCtGtDtC0D0BtGtD0Czy0AtGtB0D0CtB0CtAyEzyyByBzy0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtB0DyE0CyDtDtCtGtB0FtDtAtGyEyCzytCtG0A0C0AyBtGtB0ByE0BtBtAyC0F0ByBtA0E2Q&cr=1511266203&ir= SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDtAyBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyDtBtDzy0D0B0AtBtGyDtCtC0AtGtA0Dzy0BtGtC0A0BtAtGyEtCtCyB0B0EyBzz0FyEtA0E2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyDtD0D0EtC0A0FtGyC0DyDyBtGyEyCtCzztG0BtC0EyDtG0DyB0E0A0AyEyEyC0FyEtA0E2Q&cr=1384680931&ir= SearchScopes: HKLM -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM -> {A25AC313-DD19-4238-ACA2-401D6BEE4321} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://Lasaoren.com/results.php?f=4&q={searchTerms}&a=lrn_ir_14_45_ie&cd=2XzuyEtN2Y1L1QzutDtDtBtByD0FtCyB0BzztAyD0B0C0D0AtN0D0Tzu0StCtDyEtDtN1L2XzutAtFyCtFtDtFyEtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyCtCzz0C0C0C0B0BtGzz0EyCtCtGtDtC0D0BtGtD0Czy0AtGtB0D0CtB0CtAyEzyyByBzy0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtB0DyE0CyDtDtCtGtB0FtDtAtGyEyCzytCtG0A0C0AyBtGtB0ByE0BtBtAyC0F0ByBtA0E2Q&cr=1511266203&ir= SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://uk.search.yahoo.com/yhs/search?type=agc511&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKU\S-1-5-21-251121527-2021168873-2295293381-1000 -> {A25AC313-DD19-4238-ACA2-401D6BEE4321} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Users\Magda\Downloads\FLVPlayer-Chrome.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W przeglądarkach: - Wyczyść Firefox z przekierowań Yahoo: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres Lasaoren.com, przestaw na "Otwórz stronę nowej karty". 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jak sądzę problem jest tylko w przeglądarce Google Chrome - w niej siedzi adware DigiHelp. Tylko że instalacja Google Chrome i tak wygląda na uszkodzoną - nie widnieje w ogóle na liście zainstalowanych, choć jest obecna, bo widać np. takie oto ścieżki: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Jadzia\Desktop\rozne\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) Czyżby za daleko poszło czyszczenie? W związku z tym Google Chrome będzie reinstalowane od zera. Operacje do wdrożenia: 1. Jeśli potrzebne, wyeksportuj zakładki z Google Chrome: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - D:\Program Files\ESET NOD32 Antivirus\Mozilla Thunderbird ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {0D01AB50-5B3F-4111-8168-68E7CD37CC41} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-02] (Google Inc.) Task: {1D4DA55F-5699-41D9-825D-C6151E54112C} - System32\Tasks\{2B5038C4-3AF9-41E9-8286-83C55333457D} => pcalua.exe -a C:\Users\Jadzia\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {2F9A8D81-7745-4567-9DB0-9FA6BF508696} - System32\Tasks\{7432EC50-57CF-4D2D-ABCA-20EDC70AA267} => pcalua.exe -a C:\Users\Jadzia\Downloads\setup(5).exe -d C:\Users\Jadzia\Downloads Task: {38AF29BF-7D5B-4575-88A2-3080D5D76AD2} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-12-02] (Google Inc.) Task: {3DDEC91E-FB44-4D7C-8E49-FBA550974537} - System32\Tasks\{05FC700C-F5E7-494E-AF77-C107DA10B5F5} => pcalua.exe -a C:\Users\Jadzia\Downloads\setup(1).exe -d C:\Users\Jadzia\Downloads Task: {736A2BCE-6E6A-4D1D-AAAA-FA1DB7EEC2E9} - System32\Tasks\{EEC28219-B1BA-4B67-B92F-7051ED7EAF09} => pcalua.exe -a "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\WLAN - Broadcom\Broadcom\x32\6.30.223.181\Setup\setup.exe" -d C:\Users\Jadzia\Desktop Task: {83795474-097C-4213-8E05-97B9FFC11D3C} - System32\Tasks\{B3B0D150-DB90-4207-81E1-B92F75A911F7} => pcalua.exe -a "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\WLAN - Atheros Realtek\Realtek\2012.2.0827.2013\Setup.exe" -d "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\WLAN - Atheros Realtek\Realtek\2012.2.0827.2013" Task: {D303E6A5-3F9D-481D-B829-66F80A130A50} - System32\Tasks\{43F2203F-8CF4-47FF-A5C9-74327C17FCDA} => pcalua.exe -a C:\Users\Jadzia\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {E6F3AF4D-4231-48A8-AFF2-CA107DF3A096} - System32\Tasks\{5C77B1C5-DF0F-4F49-AB7D-8D8F5C858CBD} => pcalua.exe -a "E:\G400s&G500s Driver CD V1.0 Win8.1 32&64\Win8.1\Bluetooth - Atheros Broadcom Realtek\Setup.exe" -d C:\Users\Jadzia\Desktop Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe S3 ksapi64; C:\Windows\system32\drivers\ksapi64.sys [56680 2014-12-04] (Kingsoft Corporation) C:\Program Files (x86)\cmcm C:\Program Files (x86)\Google C:\ProgramData\Kingsoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Jadzia\AppData\Local\Google C:\Users\Jadzia\AppData\Roaming\GoldenGate C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Jadzia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Jadzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Jadzia\AppData\Roaming\WebTest C:\Users\Jadzia\Desktop\rozne\Google Chrome.lnk C:\Windows\system32\Drivers\ksapi.sys C:\Windows\system32\Drivers\ksapi64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zainstaluj najnowszą wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione pod kątem problemu infekcji i Centrum. Natomiast mam wątpliwości czy na pewno odinstalowałeś Dll-Files.com, gdyż na dysku nadal są jego zadania - to wątpliwy program, a na systemach Vista i nowszych może wyprodukować tylko więcej problemów z DLL. Za to w międzaczasie odinstalowałeś AVG PC TuneUp 2015, to jeszcze drobna korekta na szczątki programu. Otwórz Notatnik i wklej w nim: Task: {0D53B406-6B1E-4E41-A026-32CAB7FF1B33} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe [2013-07-31] (Dll-FIles.Com) Task: {A9490363-97E8-4175-BE65-DC2FA5C88396} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe [2013-07-31] (Dll-FIles.Com) Task: C:\WINDOWS\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe Task: C:\WINDOWS\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files (x86)\Dll-Files.com Fixer\DLLFixer.exe C:\ProgramData\AVG C:\Users\Kratos666\AppData\Local\Avg C:\Users\Kratos666\AppData\Roaming\AVG Hosts: RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Brakuje obowiązkowego raportu z GMER. Problemem jest oczywiście infekcja. Przypuszczalna droga nabycia: luki w starych aplikach (już się pozbyłeś określonych pozycji, co widać w spisie puktów Przywracania systemu). Są też odpadki skanera SpyHunter - z daleka od tego wątpliwego produktu. Poza tym, na dysku są ślady używania DelFix - co to miało na celu, skoro to program usuwający używane narzędzia? Przeprowadź następujące operacje: 1. Operacja w Trybie awaryjnym na koncie Daniel. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Program Files\Kaspersky Lab HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [badoo Desktop] => C:\Documents and Settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.58.1220\Badoo.Desktop.exe HKU\S-1-5-21-436374069-1284227242-1801674531-1003\...\Run: [GohoGyatr] => regsvr32.exe "C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr\GohoGyatr.dat" HKLM\...\Run: [KTSInit] => [X] HKLM\...\Run: [YTDownloader] => "C:\Program Files\YTDownloader\YTDownloader.exe" /boot HKLM\...\Run: [spyHunter Security Suite] => "C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-436374069-1284227242-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-436374069-1284227242-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: No Name -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> No File S2 HWDeviceService.exe; "C:\Documents and Settings\All Users\Dane aplikacji\DatacardService\HWDeviceService.exe" -/service [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] S2 VSGate; C:\ElsaWin\bin\VSgate.exe [X] S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2014-12-14] () S3 ASUSProcObsrv; \??\G:\I386\AsProcOb.sys [X] S3 catchme; \??\C:\DOCUME~1\Daniel\USTAWI~1\Temp\catchme.sys [X] S3 ESETCleanersDriver; \??\C:\WINDOWS\system32\Drivers\ESETCleanersDriver.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\GohoGyatr C:\Documents and Settings\Daniel\TempWmicBatchFile.bat C:\Documents and Settings\Daniel\Dane aplikacji\Enigma Software Group C:\Documents and Settings\Daniel\Dane aplikacji\Opera Software C:\Documents and Settings\Daniel\Moje dokumenty\*(*)-dp*.exe C:\Documents and Settings\Daniel\Ustawienia lokalne\Dane aplikacji\ESET C:\Documents and Settings\Daniel\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET C:\Program Files\D51D0083-1C6B-4CB4-8FA1-7CF891242EBD C:\Program Files\Mozilla firefox\plugins C:\Program Files\Opera C:\WINDOWS\System32\DRIVERS\EsgScanner.sys C:\sh4ldr Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Mobile Partner. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz zaległy GMER (wymagane tymczasowe pozbycie się emulatorów typu DAEMON Tools Lite zgodnie z instrukcjami w ogłoszeniu). Dołącz też plik fixlog.txt.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Jeden wpis nie został przetworzony (błąd w FRST) i wymagana poprawka. Natomiast jeśli chodzi o usługi, to infekcja wyłączyła Centrum zabepieczeń i Windows Update. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Unlock: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run Reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /v 3570475709 /f CMD: sc config wscsvc start= delayed-auto CMD: sc config wuauserv start= delayed-auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, Centrum powinno się uaktywnić. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt.

Adux, odpowiadam w temacie, gdy mam coś do powiedzenia (trzeba mieć czas i koncepcję!). Odświeżanie niczego nie przyśpieszy, to tylko irytuje i zmusza do pisania bezużytecznych postów jaki właśnie tworzę. Problem z Instalatorem Windows nakreślony wyżej to zupełnie inna diagnostyka niż banalne raporty z FRST.

Jeśli system nie był podłączony do sieci, to nie miał szansy zaktualizować ustawień rejestru. DhcpNameServer jest pobierane dynamicznie z routera. Podłącz sieć, zresetuj system, po tym wykonaj skrypt do FRST (uwzględnia czyszczenie bufora DNS i plików Temp, co może mieć związek z istnieniem przekierowań mimo resetu routera) i pokaż nowy log.

To obiekty systemowe, były od początku instalacji Windows tylko ich nie widziałeś. Skan OTL przełącza opcje widokowe, w ramach pomocy przy usuwaniu infekcji, by widzieć wszystkie składniki. Użytkownicy zwykle pomijają / lub nie są świadomi, że są dwie opcje związane z widocznością: Pokaż ukryte foldery i pliki oraz Ukryj chronione pliki systemu operacyjnego. To wyłączenie tej drugiej opcji powoduje pokazanie się wymienionych składników. System Volume Information: katalog związany z Przywracaniem systemu, Kopią zapasową i innymi. Zreplikowany na każdym dostępnym dysku. $Recycle.Bin: prawdziwy folder Kosza. To co jest na Pulpicie to tylko wirtualny skrót. Ten folder jest powielony na każdym dostępnym dysku. MSOCache: lokalne źródło instalacji pakietu Office, używane do reinstalacji / naprawy pakietu. Pliki BOOTNXT, hiberfil.sys, swapfile.sys: kolejno od procesów startowych Windows, Hibernacji oraz pamięci wirtualnej aplikacji ModernUI. Z wyjątkiem folderów Kosza, obiektów nie wolno naruszyć. I w systemie jest o wiele więcej rzeczy teraz widocznych, tylko jeszcze tego nie znalazłeś. Po prostu w Opcjach folderów zaznacz opcję Ukryj chronione pliki systemu operacyjnego i tyle. W pierwszem zestawie logów nie widać oznak czynnej infekcji. Niestety wręcz przeciwnie jest w drugim zestawie po Przywracania systemu. Ono było niestety niepotrzebne. Robiąc Przywracanie systemu przywróciłeś śmieci: przeglądarka Google Chrome jestzaprawiona adware BuiyNssave, na dodatek adware przekonwertowało typ przegldarki ze "stabilnej" do "development" i jest konieczna reinstalacja Google Chrome od zera. Przy okazji, na dysku jest pełno plików poniższego schematu. To nie są poprawne instalatory tylko śmieci "Asystent pobierania" dobrychprogramów nastawione na instalację adware: KLIK. C:\Users\mateu_000\Downloads\YouTube-Downloader(27896)-dp.exe Do wykonania następujące akcje: 1. Akcje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140820 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-2769995749-3454007108-333519029-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKU\S-1-5-21-2769995749-3454007108-333519029-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S4 LMIRfsClientNP; No ImagePath S3 TBPanel; No ImagePath S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] Task: {143BB45B-8C04-4FBD-9774-78A7B6300670} - System32\Tasks\{76127E5C-95AD-4DDA-BAD9-CA36E07260BC} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.457/pl/abandoninstall?page=tsWLM C:\Program Files (x86)\BuiyNssave C:\Program Files (x86)\Google\Chrome C:\ProgramData\AVG C:\ProgramData\bajnlhgjdokojnhcbpcgdfodnllmgbcd C:\ProgramData\TEMP C:\Users\mateu_000\AppData\Local\Avg C:\Users\mateu_000\AppData\Local\Google\Chrome C:\Users\mateu_000\AppData\Roaming\AVG C:\Users\mateu_000\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SaiMfd /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ProfilerU /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v XboxStat /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W systemie działa infekcja (C:\ProgramData\mswlw.exe), co jest zapewne powodem problemów z funkcjami relatywnymi do zabezpieczeń. Przeprowadź następujące działania: 1. Odinstaluj wątpliwy program Dll-Files.com Fixer wersja 3.0.81.2643. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [3570475709] => C:\ProgramData\mswlw.exe [81249 2014-12-14] ( ()) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3930421677-1584321131-3860223234-1002\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-3930421677-1584321131-3860223234-1002\...\Policies\Explorer: [HideSCAHealth] 0 SearchScopes: HKU\S-1-5-21-3930421677-1584321131-3860223234-1002 -> DefaultScope {FF857022-ADA0-4C74-8D7E-3D6C29B87085} URL = SearchScopes: HKU\S-1-5-21-3930421677-1584321131-3860223234-1002 -> {FF857022-ADA0-4C74-8D7E-3D6C29B87085} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\ProgramData\mswlw.exe C:\Users\Kratos666\patch.exe C:\WINDOWS\SysWOW64\*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v 3570475709 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s CMD: type "C:\Users\Kratos666\AppData\Roaming\Mozilla\Firefox\Profiles\869b3nru.default\user.js" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Reset routera pozorowany, nadal jest z niego pobierany szkodliwy adres: Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Wnioski: albo reset routera był nie do końca poprawny, albo po resecie go nie zabezpieczyłeś (zamknięcie panelu zarządzania od strony Internetu). Czyli do wykonania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\...\Policies\Explorer: [NoControlPanel] 0 ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na zakończenie usuń pobrany FRST z C:\Users\Bakoma\Downloads\Nowy folder i zastosuj DelFix.

Fix wykonany, natomiast DelFix nie pokazuje żadnych kasacji - czy na pewno folder C:\FRST zniknął?

1. Była w skrypcie drobna literówka (poprawiłam za późno) i jedna rzecz się nie wykonała. Otwórz Notatnik i wklej w nim: C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń pobrany FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Używasz Google Chrome, więc Adobe Flash jest zintegrowany i nie potrzebujesz innych wersji. Jeśli chcesz uzupełnić Adobe Reader, to w powyżsym linku wszystko wyłożone. Ponadto, jest tu golusieński Windows 7 i do wykonania kompleksowa aktualizacja z Windows Update (SP1 + IE11 + reszta): Platform: Microsoft Windows 7 Home Premium (X86) OS Language: Polski (Polska) Internet Explorer Version 8

Wg obrazka jest to natywnie zintegrowany z przeglądarką Flash i on może być zaktualizowany tylko poprzez aktualizację całej przeglądarki, co tu zostało zalecone.

Temat przenoszę do właściwego działu Hardware. Dostarcz dane wymagane do diagnostyki dysku: KLIK. I ktoś inny się zabierze za analizę materiałów. PS. Jeśli się okaże, że nie jest źle z dyskiem, wtedy do uzupełnienia aktualizacje Windows np. IE8 (KLIK) oraz rozwiązanie poniższego błędu usługi Hewlett-Packard: System errors: ============= Error: (12/13/2014 07:50:22 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Start > Uruchom > services.msc, dwuklik w wymienioną usługę i Typ uruchomienia ustaw na Wyłączony.