picasso

1. Minimalna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {BE6CCE12-371D-4E98-94E8-500487DF8FBB} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {BE6CCE12-371D-4E98-94E8-500487DF8FBB} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Po pokazaniu pliku: 2. Usuwasz ręcznie stosowane skanery z C:\Users\Sławek\NARZEDZIA. Następnie DelFix, czyszczenie folderów Przywracania systemu, uzupełnienie wybranej wersji Adobe Flash i aktualizacja Internet Explorer: KLIK. Uprzednio w systemie była zainstalowana tylko wersja dla Internet Explorer. Instalujesz Adobe Flash dla tej przeglądarki, której używasz. Wszystkie linki pod konkretne przeglądarki podane w wyżej linkowanym przyklejonym.

W Google Chrome jest zainstalowane adware CommonShare. Przeprowadź następujące działania: 1. Na początek jednak odinstaluj stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 9.1 - Polish. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\samsung\AppData\Roaming\Opera Software C:\Users\samsung\AppData\Roaming\systweak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj CommonShare Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

vs. Google Chrome ma wbudowany na stałe Adobe Flash, on nie występuje na liście zainstalowanych i nie można go odinstalować. Zaleciłam do deinstalacji wtyczkę dla Firefox - ona owszem też była widoczna w Google Chrome (dlatego były dwie wtyczki). Popatrz ponownie na przyklejony na temat aktualizacji Adobe Flash, bo dziś go zedytowałam i dodałam kilka nowych informacji. Pytaniem jest więc: czy po deinstalacji wtyczki Firefox nadal widziałaś dwie pozycje? Jeśli nie, to został tylko ten wbudowany. Nie wiem skąd ten błąd. Może KIS bruździ? Alternatywnie: odinstaluj Google Chrome (nie zaznaczaj opcji "Usuń także dane przeglądarki", by zachować profil na dysku) > zainstaluj najnowszą wersję. Nie, logów już nie potrzebuję. Skorygowałam, wystarczy przełączyć na Tryb BBcode na chwilę, a się "prostuje treść". W czym post przygotowujesz, w jakimś zewnętrznym programie?

Proszę nie używaj opcji "Odpowiedz" zlokalizowanej przy danym poście - to funkcja cytatu, która wstawia wypowiedź poprzednika (zedytowałam). Korzystaj z pola szybkiej odpowiedzi na spodzie tematu i opcji Napisz. Brakuje nowego skanu:

Zapomniałeś dołączyć główny raport FRST.txt... Ale Ty nie jesteś teraz bez antywirusa. Posiadasz Windows 8.1 - system ma natywnie wbudowany Windows Defender. Jest to inny Defender niż w starszych systemach, w istocie jest to nowsza wersja Microsoft Security Essentials: KLIK. Instalacje zewnętrznych antywirusów powodują, że zintegrowany Windows Defender jest wyłączany. Ich deinstalacja z kolei przywraca stan domyślny i Defender się ożywia. Oczywiście jest to program skromniejszy niż konkurenci typu "Internet Security", ale jest mimo wszystko w systemie, zapewnia podstawową ochronę, więc na takiej pastwie losu to teraz nie jesteś. Jeśli chodzi o instalacje producentów trzecich: nie polecam nic konkretnego wychodząc z założeń, że dowolny wybór użytkownika z zakresu wiodących / dobrze znanych marek komercyjnych czy darmowych będzie w porządku, byle nie niszowe rozwiązania. Czy to będzie Bitdefender Internet Security, czy Kaspersky Internet Security, czy Avast Free = okej. Te wszystkie tematy w rodzaju "który antywirus najlepszy", śledzenie tabelek wyników (które się zmieniają) i ograniczone testy na zmanipulowanych materiałach uważam za bezcelowe - każdy ma inną opinię (lub brak opinii) i poleca to co sam u siebie zainstalował, albo szerzy się echolalia z sieci (ktoś tam miał nieprzyjemne zdarzenie z programem X, a hałastra powtarza jak ciele), a testy w warunkach domowych na segregowanych próbkach to sport testera. W praktyce i tak leczę systemy użytkowników z wszystkimi tymi doskonałymi antywirusami i innymi zabezpieczeniami. Antywirus to nie wszystko, są inne funkcjonalności zabezpieczające (HIPS, piaskownice, wirtualizacje). Ale tu uważam, że jednak program musi być dostosowany do umiejętności użytkownika, bo jeśli użytkownik nie umie obsłużyć danej aplikacji, nie spełnia ona po prostu zadania wcale (niezrozumiałe komunikaty od funkcji HIPS-podobnych, za dużo dialogów decyzyjnych o niezrozumiałej treści, etc.). Jeśli wbudowany w system Windows Defeder nie zadawala Cię, zewnętrznego antywirusa / pakiet IS sobie dobierz samodzielnie, ważne jest byś umiał go obsługiwać i rozumiał co Ci komunikuje. Zaznaczę także, że u Ciebie w systemie były dwa określone rodzaje malware: - VBKlip/Banatrix (podawałam opis): pod tym kątem przydałaby się więc funkcja związana z wykonywaniem bezpiecznych transakcji bankowych oraz zabezpieczaniem przed keyloggerami. - Adware - czego unikać, na co uważać, bo nawet najbardziej sprytny program zostanie pokonany przez użytkownika: KLIK.

Nie wiem czy rozumiem co mówisz - pokazujesz mi, że wtyczka jest wyłączona, to należy ją włączyć. Czy jest z tym jakiś problem? Dodatkowo: zaktualizuj Google Chrome z posiadanej 39.0.2171.71 do najnowszej 39.0.2171.95 - ma ona zintegrowaną nowszą wersję 16.0.0.235. Kierowałam tylko do aktualizacji Adobe Flash dla IE. Java była załatwiona wcześniej. Google Chrome powyżej. System ma bazowe aktualizacje tam wyliczane. Jeśli ów skrót jednak uruchamiał program bez błędu, to mógł być przypadek ze zdefektowanym cache ikon Windows: KLIK. - Hałasy: nie sądzę, bym tu coś już zaradziła, bo nie widzę sensu wyłączania określonych funkcji w programie, by obniżyć ilość i zakres wykonywanych zadań. - Google Chrome: wszystko się zgadza, Kaspersky montuje korespondujące do określonych funkcji rozszerzenia w przeglądarkach IE, Firefox i Google Chrome. Firefoxa tu nie ma, ale pewnie i na niego "czekają" takie instalacje (stworzone gotowce Kasperskiego w kluczach Mozilla). Chodziło mi tu o asekurację, gdyby się okazało, że nie można go odinstalować. Zawsze należy próbować w pierwszej kolejności normalnej deinstalacji.

Przeklej do posta treść którą zapisałeś jako fix.vbs.

Kończymy : 1. AdwCleaner czyścił z profilu Firefox na wbudowanym koncie Administrator. Na wszelki wypadek zaloguj się na to konto i wykonaj na nim reset Firefox. 2. Wróć na konto Karolina. Z Pulpitu usuń folder FRST. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Uruchamiałeś ComboFix i na ten temat: KLIK. Są widoczne problemy w systemie i niepożądane obiekty: zamontowana usługa "Tor" (wątpię, byś to celowo instalował) oraz rozmaite odpadki adware (niektóre aktywne). Jeśli są kłopoty z połączeniem, to Tor owszem pasuje do scenariusza. Są tu dwa konta i na każdym z osobna należy prowadzić określone operacje: ========================= Accounts: ========================== Dom (S-1-5-21-400919767-554095329-431794452-1003 - Limited - Enabled) => C:\Users\Dom HolloW (S-1-5-21-400919767-554095329-431794452-1000 - Administrator - Enabled) => C:\Users\HolloW Przenieś FRST z folderu Pobrane konta HolloW do ścieżki wspólnej dla obu kont, tzn. C:\Users\Public\Desktop (w eksploratorze wyświetlane "fałszywie" po polsku C:\Użytkownicy\Publiczny\Pulpit publiczny). Następnie po kolei logujesz się na dane konto, by przeprowadzić następujące operacje: NA KONCIE HolloW: 1. Przez Panel sterowania odinstaluj Qtrax Player. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-08-23] () [File not signed] R2 WebCake Desktop Updater; C:\Program Files (x86)\WBDesktop.Updater.exe [51992 2013-08-11] (cake bake) ) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X] GroupPolicyUsers\S-1-5-21-400919767-554095329-431794452-1003\User: Group Policy restriction detected HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-400919767-554095329-431794452-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-400919767-554095329-431794452-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&tt=190313_wo1&babsrc=SP_ss_din2g&mntrId=14B3001333AFDA05 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&tt=190313_wo1&babsrc=SP_ss_din2g&mntrId=14B3001333AFDA05 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147945 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path HKU\S-1-5-21-400919767-554095329-431794452-1000\...\RunOnce: [Adobe Speed Launcher] => 1418382088 Task: {2724D264-9F0A-4532-94C4-7E230BD75DB3} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {3FB5F7AA-2883-420E-8B88-15B92CE70DEE} - System32\Tasks\{0D8742BB-7A83-4D0E-A8FE-7194F9A46058} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {69190F3F-D8F8-4CA6-9EDA-999DCAE8CE2B} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {B3547192-8E82-4399-B625-F5A23A124062} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe C:\Program Files (x86)\WBDesktop.Updater.exe C:\Program Files (x86)\Betcat C:\Program Files (x86)\Tor C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Windows\SysWow64\ᅑ C:\Windows\SysWow64\o C:\Windows\SysWow64\꜉鮇D C:\Windows\SysWow64\晻 C:\Windows\SysWow64\⋨ⵗY C:\Windows\SysWow64\⃻쑈 C:\Windows\SysWow64\↻䁘 C:\Windows\SysWow64\゚맆 C:\Windows\SysWow64\⼹㬡 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze C:\Users\Public\Desktop gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W C:\Users\Public\Desktop powstanie plik fixlog.txt. 3. W przeglądarkach: - Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Avira Browser Safety, Greasemonkey, Stylish) trzeba będzie przeinstalować. - Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NA KONCIE Dom: 1. Powtórz deinstalację Qtrax Player. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-400919767-554095329-431794452-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147944 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&tt=190313_wo1&babsrc=SP_ss_din2g&mntrId=14B3001333AFDA05 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147945 HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb] => reg.exe delete "HKCU\Software\AppDataLow\Software\filebulldogtb" /f HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb_XP] => reg.exe delete "HKCU\Software\filebulldogtb" /f HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb_DATA_FOLDER] => cmd.exe /c rmdir "C:\ProgramData\File Bulldog Anti-phishing Domain Advisor" /s /q HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb_INSTALL_FOLDER] => cmd.exe /c rmdir "C:\Users\HolloW\AppData\Local\filebulldogtb" /s /q HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [Adobe Speed Launcher] => 1418382088 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt (tym razem nie trzeba zapisywać w kodowaniu UTF-8) w katalogu C:\Users\Public\Desktop. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) - FRST uruchom poprzez dwuklik a nie "Uruchom jako Administrator", gdyż zmieni się kontekst konta. Dołącz też plik fixlog.txt. .

Wszystko przetworzone. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Symantec C:\Program Files (x86)\SymSilent C:\Program Files (x86)\Temp C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\NortonInstaller C:\ProgramData\PopCap Games C:\ProgramData\Symantec C:\Users\Mariola\Doctor Web C:\Users\Mariola\AppData\Local\CrashDumps C:\Users\Mariola\AppData\Local\CrashRpt C:\Users\Mariola\AppData\Local\globalUpdate C:\Users\Mariola\AppData\LocalLow\{EA34C851-D481-49F5-A356-3A8B0A8F3B7E} C:\Users\Mariola\AppData\LocalLow\GoHD C:\Users\Mariola\AppData\LocalLow\Sense C:\Users\Mariola\AppData\Roaming\NDFNWE C:\Users\Mariola\AppData\Roaming\PZBSD C:\Users\Mariola\AppData\Roaming\WebApp RemoveDirectory: C:\Qoobox RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

GMER sobie darujmy. Nadal widać dużo elementów grupy "Goobzo" (ShopperPro i YouTube Accelerator), z tym że to ShopperPro jest częściowo czynny (zadanie w Harmonogramie próbuje go "uzupełniać"), reszta szczątki. Adware zmodyfikowało łańcuch Winsock, "łopatologie" go uszkodziły (usunięcie pliku adware z dysku bez prawidłowego wypięcia z Winsock). Wdróż następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe /service [X] S3 SPBIUpdd; \??\C:\Program Files\Common Files\ShopperPro\spbiw.sys [X] R2 SPDRIVER_1.38.0.1437; C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1437\jsdrv.sys [52584 2014-12-10] () S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X] S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] Task: {5060A676-C1F7-47B5-A943-BCAC0127239E} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-10] (Goobzo) Task: {694E8C2F-DB63-43D5-AF87-46D818F896B7} - System32\Tasks\SPBIW_UpdateTask_Time_323231393831363432352d374a55414134502a576c4a5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {7F51C96E-B554-4EDA-8CB2-6DC89B54DC7E} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {7FCACBC8-7780-4A13-82D8-3B78048199F6} - System32\Tasks\{039CC313-F8D6-419D-A278-A18599BA2C7D} => pcalua.exe -a C:\Users\Radziu\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {A619EC51-0625-42A2-A897-9FD6139E932A} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe Task: {AFD1E278-5263-4B39-A439-D304C3304B11} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {C4CE1052-7B18-4221-8D24-D2EAD9267C7D} - System32\Tasks\Installer_sense => C:\Users\Radziu\AppData\Local\Installer\Installsense_30696\ins_postInst.exe Task: {CC19B9DC-5CA6-41DA-B50D-E81C7911D513} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2014-12-10] (Goobzo LTD) Task: {DFB9A7C9-9563-4484-B59B-17F8AC8873B8} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1437\jsdrv.exe [2014-12-10] () Task: {F7C0F6DC-72B5-4A50-8410-A665C3387358} - System32\Tasks\{AB7A8563-66E8-4667-80C6-226CB3648B3F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {FF91A0AD-6195-4007-A2E1-C8A0A395301F} - System32\Tasks\Installer_iwebar => C:\Users\Radziu\AppData\Local\Installer\Installiwebar_30696\ins_postInst.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76 BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll No File C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\ShopperPro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Radziu\AppData\Local CMD: dir /a C:\Users\Radziu\AppData\LocalLow CMD: dir /a C:\Users\Radziu\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Radziu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Radziu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus i WOT należy przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Poprawki: 1. Specjalny skrót Internet Explorer nie jest poprawny: Shortcut: C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-21-398410218-3786033429-3762348091-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = RemoveDirectory: C:\found.000 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sławek\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan na następujących ustawieniach: odznacz pole Whitelist dla sekcji Internet. Dodatkowe logi Addition i Shortcut już zbędne. Dołącz fixlog.txt.

W Operze jest zainstalowane rozszerzenie adware Radio Canyon: }, "bikofacodmhdpkfdeeocponfcgjcdfbk": { "active_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "granted_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "install_time": "13062650737157205", "location": 1, "manifest": { "background": { "page": "background.html" }, "content_scripts": [ { "all_frames": true, "js": [ "js/35e65e4680aeaa40a5b16c9a643b00f4.js", "js/lib/8c7f9d9541d28365ac49c0cfe36b768b.js", "js/lib/8cf4982fdda5d8c15ddebfc990045237.js", "js/lib/c9ce8aeb4f1efacf28a8b122c33e66fe.js", "js/lib/0794bcdacdaafe834e6d24d99c1b1292.js", "js/api/7a26ebd88a8b0ad9cf5e180115048305.js", "js/api/9ea2c940d96967823d25a6a9d4b1560c.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ], "matches": [ "http://*/*", "https://*/*" ], "run_at": "document_start" } ], "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'", "description": "User Station", "icons": { "128": "icons/icon128.png", "16": "icons/icon16.png", "48": "icons/icon48.png" }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDqVNg7JpOLxThfn7UEpt4RgPJ2BICUNwzY3lTD1TehrfNWTLY7LF/TqE990oIQ4QB6SsZwVOZnemqTi6IJTot9JfdE83YiEvpDMzPLKk/83GtXZWlBaQrliLiuCyBIhhzMiorzPPuXYSmkZRpYD5dU1s8S7Lw41xry3smsSwvayQIDAQAB", "manifest_version": 2, "name": "Radio Canyon", "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ], "update_url": "https://w9u6a2p6.ssl.hwcdn.net/plugin/chrome/update/60804.xml", "version": "1.26.100", "web_accessible_resources": [ "Settings.json" ] }, "path": "bikofacodmhdpkfdeeocponfcgjcdfbk\\1.26.100_0", "state": 1 }, ========================= Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions ======================== 2014-12-10 00:54 - 2014-12-10 00:54 - 0000000 ____D () C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions\bikofacodmhdpkfdeeocponfcgjcdfbk AdwCleaner tego nawet nie widzi, on wykrywa identyfikatory wtyczek, które są zablokowane (nie ma tego w postaci faktycznej instalacji) i czyścić nie ma po co: -\\ Opera v26.0.1656.32 [C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\preferences] - Found [Extension] : ejddjnilmdncjilbfjgameihlklfpohp [C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\preferences] - Found [Extension] : eagomcfjiefffhpaejnlpjccikpipdoe vs. "extensions": { (...) }, "blacklistupdate": { "version": "2014.1208.1319.15" }, (...) }, "eagomcfjiefffhpaejnlpjccikpipdoe": { "blacklist": true }, "ejddjnilmdncjilbfjgameihlklfpohp": { "blacklist": true }, Akcja: 1. W Operze CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj Radio Canyon. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions\bikofacodmhdpkfdeeocponfcgjcdfbk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przedstaw fixlog.txt i potwierdź, że problem adware ustąpił.

Czy po incydencie zmieniłeś dane logowania? Jeśli chodzi o ochronę przed keyloggerami, to wypróbuj aplikacje specjalizowane pod tym kątem: KeyScrambler (dostępna wersja darmowa Personal), SpyShelter (dostępna wersja darmowa Free), Zemana Antilogger (dostępna wersja darmowa Free). W podanych tu raportach nie widać żadnych czynnych śladów tego typu infekcji. Poniższe programy monitorujące to oczywiście celowa instalacja? Hidden Recorder (HKLM-x32\...\Hidden Recorder) (Version: - ) iSpy (HKLM-x32\...\{067B0B45-5718-4AF1-AAAB-A8D0894183A0}) (Version: 5.6.8 - iSpy) Ale i tak jest tu co czyścić: odpadki infekcji "policyjnej", adware i innych programów. Dodatkowa uwaga na temat poniższych plików, to nie są poprawne instalatory tylko śmieci, "Asystent pobierania" dobrychprogramów i "Softonic Downloader": KLIK. C:\Users\admin\Downloads\Comodo-Personal-Firewall(20399)-dp.exe C:\Users\admin\Downloads\SoftonicDownloader_dla_ashampoo-firewall.exe 1. Odinstaluj EZDownloader (adware), GeekBuddy (od COMODO) oraz stare wersje HiJackThis + Java 7 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.flyandsearch.info/?pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD6400AACS-00G8B1_WD-WCAUF299592495924&ts=1383949410&type=default&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD6400AACS-00G8B1_WD-WCAUF299592495924&ts=1383949410&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD6400AACS-00G8B1_WD-WCAUF299592495924&ts=1383949410&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @esn/esnlaunch,version=2.1.7 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.7\npesnlaunch.dll No File FF Plugin HKU\S-1-5-21-1306738418-3678984601-3552450241-1000: @tools.google.com/Google Update;version=3 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin HKU\S-1-5-21-1306738418-3678984601-3552450241-1000: @tools.google.com/Google Update;version=9 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\dosearches.xml CHR Extension: (SweetIM for Facebook) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn [2014-09-01] CHR Extension: (SweetPacks Chrome Extension) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj [2014-09-01] CHR HKLM-x32\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files (x86)\TornTV.com\torn10.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-11-19] CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx [2012-11-19] HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\...\Run: [Google Update] => "C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe" /c CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {0751FD4B-A42F-45B4-8F38-FE9EBCEC4A09} - System32\Tasks\{C3CBD61F-AF97-4051-91B8-C8D9B87716D4} => G:\EFILMLT.EXE Task: {0DF26EE2-EDB3-4EF5-9F4C-641FF82362D0} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000Core => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: {1352AD37-B7E1-49A6-AB74-6A70C9217E6B} - System32\Tasks\{6E86D655-DEA5-4B9A-9015-23676207B1C3} => J:\Obrazy\FIFA 13\Game\fifa13.exe Task: {2372425D-A07C-482E-A2C9-29935CB4906C} - System32\Tasks\{3FA0D398-1D0F-4674-BE27-ECF5EA30E675} => pcalua.exe -a "C:\Program Files (x86)\Pontifex II\SETUP.EXE" -d "C:\Program Files (x86)\Pontifex II" Task: {280B4450-1F5E-4747-B61E-5F9B41287935} - System32\Tasks\{426D6E68-D823-45A9-9A48-6099C157AD53} => E:\GRY ORIGIN\Battlefield 4 Beta\bf4.exe Task: {2D0AFBC3-B49D-4CB5-A45F-02DFDB142922} - System32\Tasks\{1DAA94B3-D2E5-45E4-A740-BF4D843B1A9A} => G:\eFilmLite\eFilmLt.exe Task: {51DFD1A8-3010-450C-8354-9B88DE7466BD} - System32\Tasks\{219F0107-1B03-4829-B312-DE392C48E705} => pcalua.exe -a "C:\Program Files (x86)\Nokia\Nokia PC Suite 7\ApplicationInstaller.exe" -d C:\Users\admin\Downloads -c "C:\Users\admin\Downloads\QuickMark_Big5_PlugIn_S60_2nd.SIS" Task: {5802663C-546F-4C0E-8C94-0C831D3D1724} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cis9BB2.exe [2014-12-09] (COMODO) Task: {9113A1BE-1F5E-42F3-BEB8-D8CEEE93BA8B} - System32\Tasks\{B4FF78E9-1A6C-45EB-8FF9-E28407DC20F0} => pcalua.exe -a C:\Users\admin\Downloads\Second_Life_Setup.exe -d C:\Users\admin\Downloads Task: {AF096DD8-55D2-4664-8032-C22924E81815} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000UA => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: {C85CD46C-8E6F-4DD3-BB3C-312BA2251516} - System32\Tasks\{770D11A4-6228-49A5-806F-016E7EDD1450} => E:\mosty\Bridge.exe Task: {D8A990E2-A9D1-468D-9F87-8E624814D5C9} - System32\Tasks\{B9EC4C24-6D33-4D15-929B-6DF42A39AF2B} => C:\Program Files (x86)\Free DVD Creator\dvdcreator.exe Task: {E23679E0-282E-4A8E-A58B-2A36E2A2B5F8} - System32\Tasks\{E8CAAF2E-C982-4C4D-8784-E3F987FBB7FD} => G:\eFilmLite\eFilmLt.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000Core.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000UA.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 ALSysIO; \??\C:\Users\admin\AppData\Local\Temp\ALSysIO64.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz135; \??\C:\Users\admin\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] C:\Program Files (x86)\EZDownloader C:\ProgramData\cis9BB2.exe C:\ProgramData\flwjycbm.bab C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\admin\wgsdgsdgdsgsd.dll C:\Users\admin\AppData\Local\cache C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Local\Mobogenie C:\Users\admin\AppData\Roaming\apachesrvin.vbs C:\Users\admin\AppData\Roaming\die.bat C:\Users\admin\AppData\Roaming\Baidu C:\Users\admin\AppData\Roaming\Leadertech C:\Users\admin\AppData\Roaming\Leawo C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\admin\AppData\Roaming\Omerta C:\Users\admin\AppData\Roaming\OpenCandy C:\Users\admin\AppData\Roaming\systweak C:\Users\admin\Downloads\*(*)-dp*.exe C:\Users\admin\Downloads\SoftonicDownloader_*.exe C:\Users\Public\Desktop\COMODO Firewall.lnk C:\Windows\grep.exe C:\Windows\MBR.exe C:\Windows\PEV.exe C:\Windows\sed.exe C:\Windows\zip.exe C:\Windows\pss\runctf.lnk.Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^runctf.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedConnectStartUp" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0F44DC3A-6E62-4961-A14B-95323C512F9B}_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7DD5E91C-3864-77EC-7635-D14910C2A03E} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{FDB962F0-B5B8-9460-D12F-7966E97BAA43} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: type C:\Windows\System32\Tasks\{E9E4AF8A-D0FE-401B-9198-7C91007C3710} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Wyczyść przeglądarki z adware: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W podanych raportach nic nie widać, ale to dlatego, że używasz przeglądarkę Opera, a narzędzia FRST i OTL nie skanują w ogóle preferencji Opery. Dodaj skan niedomyślny. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynkowy fixlog.txt.

Ale co to ma za znaczenie czyj. Miał zostać usunięty FRST z niego: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 13-12-2014 Ran by Paulinka (administrator) on MALUTKA on 13-12-2014 13:55:32 Running from D:\PC_HELP_RU FRST należy pobierać za każdym razem od początku. Wbudowany system autoaktualizacji czasami zawodzi i nie jest ściągana nowsza wersja. U mnie w systemie conajmniej kilka razy to miało miejsce, mimo czynnego połączenia z internetem.

Istotnie, jest tu dużo niepożądanych śladów adware. Ponadto, adware przekonwertowało Google Chrome z typu "stabilna" do "development" i będzie konieczna kompleksowa reinstalacja prtzeglądarki. Ale nie ma tu w tle już procesów adware, więc jeśli nadal notujesz spowolnienie systemu, to przyczyna musi być inna, np. dobry kandydat to rozbudowany pakiet 360 Internet Security. Dodatkowa uwaga: było tu podejście z AdwCleaner, program został pobrany z pośredniego serwisu C:\Users\Rafal\Downloads\adwcleaner_4.105_www.INSTALKI.pl.exe. Na przyszłość: tego typu programów nie pobiera się z portali tylko ze stron domowych. Strona domowa linkowana w przyklejonym: KLIK. Ale jednak log z OTL nie jest zrobiony na podstawie tutejszych instrukcji tylko z innego forum (wklejone w oknie dodatkowe niedomyślne komendy).. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj wszystkie produkty Google: Google Chrome, Google Toolbar for Internet Explorer, Google Advertising Cookie Opt-out. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. Resztę obiektów Google doczyści mój skrypt poniżej. Dopiero po zakończeniu czyszczenia zainstalujesz te aplikacje Google, które potrzebujesz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:52001;https=127.0.0.1:52001 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 ShortcutWithArgument: C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 ShortcutWithArgument: C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 ShortcutWithArgument: C:\Users\Rafal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 ShortcutWithArgument: C:\Users\Rafal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 ShortcutWithArgument: C:\Users\Rafal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 ShortcutWithArgument: C:\Users\Rafal\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.flyandsearch.info/?unqvl=59&idate=2014/08/15 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3998210539-3065520669-1277161271-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.flyandsearch.info/?unqvl=59&idate=2014/08/15 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567&q={searchTerms} SearchScopes: HKLM -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_23_ff&cd=2XzuyEtN2Y1L1QzutDtDtByC0CyCtBtCtCtC0ByE0E0ByB0CtN0D0Tzu0SzzzztAtN1L2XzutBtFtBtDtFtCzytFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyD0F0AzztDzz0A0DtGyBtDyCtAtGyEtB0D0CtG0C0B0ByBtGyC0E0EyC0B0DtC0B0Dzy0CyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtBtByDtCzy0B0EtG0CtA0E0FtGtCyEtDzytG0AtCyCyEtGtAtAtB0CtAyBzy0C0EtB0EtA2Q&cr=546621253&ir= SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?unqvl=59&idate=2014/08/15&l=1&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1405261940&from=tugs&uid=WDCXWD3200BEVT-22ZCT0_WD-WX30E99H1567H1567&q={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?unqvl=59&idate=2014/08/15&l=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3998210539-3065520669-1277161271-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3325580&octid=EB_ORIGINAL_CTID&ISID=MC2FF06B1-E2CA-491B-AE66-7A326D4BF7D3&SearchSource=58&CUI=&UM=2&UP=SP56F9FE0D-B7E6-4E80-BF25-645DC58EDA18&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3998210539-3065520669-1277161271-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF HKLM-x32\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\FFExt\virtualKeyboard@kaspersky.ru FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Rafal\AppData\Roaming\Mozilla\Firefox\Profiles\0d43dv6q.default\extensions\faststartff@gmail.com FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml Task: {0CA4209E-EDD8-4BFE-ACEC-F0289A76B090} - System32\Tasks\{4B732E7C-B599-41C3-BEE0-1F505D3CE63B} => pcalua.exe -a C:\Users\Rafal\Desktop\irfanview_plugins_428_setup.exe -d C:\Users\Rafal\Desktop Task: {1C15A2E1-51A3-4FC7-A4E6-9C3402225EBE} - System32\Tasks\Speedial => C:\Users\Rafal\AppData\Roaming\Speedial\UPDATE~1\UPDATE~1.EXE Task: {238E8B05-0444-409E-9651-C3149A5B1E11} - System32\Tasks\{B02C56CF-A9F1-43AA-94DA-124CCABFDC70} => pcalua.exe -a C:\Users\Rafal\Desktop\flashget3.7.0.1156en.exe -d C:\Users\Rafal\Desktop Task: {279B6EDB-F43B-4789-A789-C7DD133D12C5} - System32\Tasks\BrickEnhancer-S-1038644530 => c:\programdata\trusted publisher\brickenhancer\BrickEnhancer.exe Task: {3525CD4E-4A49-4860-A63B-369EE2CCAE82} - \Program aktualizacji online firmy Adobe. No Task File Task: {3C3D48C3-6F0B-42C7-9AE4-3E24B66CFDA7} - \Update Service YourFileDownloader No Task File Task: {3D5BC3D4-DA66-4186-9B06-064C103E4F5F} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {4AD9BC06-F804-4E48-BC09-912C7D524E3F} - System32\Tasks\{349DEBA7-4FFA-4F56-B3F1-950022045950} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {51F76BBB-ABA2-44DE-8F74-C0F56329CA19} - System32\Tasks\{9FABA38F-97C5-445B-A9EC-AFE664B874B3} => pcalua.exe -a D:\Instalator.exe -d D:\ Task: {787515BE-1F65-49C8-82AA-04389D66ABBB} - System32\Tasks\{2BAC461E-DBD5-4DA7-98D0-26413CB1F5C1} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\1\SS_Uninstall.exe Task: {996A4107-43A6-461D-9183-42B9578A2BD1} - System32\Tasks\SoftwareEnforcer-S-3192505879 => c:\programdata\trusted publisher\softwareenforcer\SoftwareEnforcer.exe Task: {A56FF2B5-D446-49C0-A269-C10183D42807} - System32\Tasks\SystemLifter-S-814392653 => c:\programdata\trusted publisher\systemlifter\SystemLifter.exe Task: {BAB079BB-9EEC-4C05-BDA7-F03BE03B85CC} - System32\Tasks\{9DC67CBE-33ED-4819-B507-75BF729D3CB6} => pcalua.exe -a "C:\Users\Rafal\Desktop\Disc 1\SETUP.EXE" -d "C:\Users\Rafal\Desktop\Disc 1" Task: {BAFFEE45-BCBE-4E3A-8702-65655BC1E0BC} - System32\Tasks\{6FB01C64-2552-474E-9DB2-D8FE7E3A4747} => pcalua.exe -a D:\Install.exe -d D:\ Task: {CB8A464E-4626-43D7-B076-5A0AA0CD3C8A} - System32\Tasks\{0DF29B43-6570-4820-B2DA-E0CC1565C99C} => pcalua.exe -a C:\Users\Rafal\Downloads\irfanview_plugins_428_setup.exe -d C:\Users\Rafal\Downloads Task: {D6CDAA4A-B8EE-4137-AE1C-DB37AF900D85} - System32\Tasks\SystemBooster-S-3779874333 => c:\programdata\trusted publisher\systembooster\SystemBooster.exe Task: {DB265325-234E-4342-828A-0A58DFC1E3F2} - System32\Tasks\{EA0F0AAC-9F33-4339-A030-DF9071588E5B} => pcalua.exe -a "C:\Users\Rafal\Downloads\rom\Faenil_FlashingKit\Faenil_FlashingKit\Usb Drivers\SSDN_V1.1.808.7165_SETUP_whql.exe" -d "C:\Users\Rafal\Downloads\rom\Faenil_FlashingKit\Faenil_FlashingKit\Usb Drivers" Task: {E041994B-8F6B-490F-B55A-3AA515345743} - \LuckyTab No Task File Task: {E99336F8-537B-4EBC-93C6-0EE9C32FD5BB} - System32\Tasks\{2DA9E005-5D5A-45DB-84C0-1648116738A5} => pcalua.exe -a C:\Users\Rafal\Downloads\iview435_setup.exe -d C:\Users\Rafal\Downloads Task: {EA6D02C3-28CE-490B-B527-1338C2EA01A6} - \GoForFiles Installer Starter No Task File Task: {F732A0FC-C832-4F3E-B66F-B79EBD1AE460} - System32\Tasks\{F9897146-46EC-4EAE-8408-7F2EFB094CAC} => pcalua.exe -a C:\Users\Rafal\Downloads\irfanview_plugins_435_setup.exe -d C:\Users\Rafal\Downloads Task: {FC834F47-87B6-4A87-983D-5162FD72B806} - System32\Tasks\{62BAF2C7-6B9A-4A3F-95E9-577672D95531} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.5.0.115&LastError=12002 Task: C:\Windows\Tasks\BrickEnhancer-S-1038644530.job => c:\programdata\trusted publisher\brickenhancer\BrickEnhancer.exe Task: C:\Windows\Tasks\SoftwareEnforcer-S-3192505879.job => c:\programdata\trusted publisher\softwareenforcer\SoftwareEnforcer.exe Task: C:\Windows\Tasks\Speedial.job => C:\Users\Rafal\AppData\Roaming\Speedial\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\SystemBooster-S-3779874333.job => c:\programdata\trusted publisher\systembooster\SystemBooster.exe Task: C:\Windows\Tasks\SystemLifter-S-814392653.job => c:\programdata\trusted publisher\systemlifter\SystemLifter.exe S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () [File not signed] S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 DKbFltr; \SystemRoot\SysWOW64\Drivers\DKbFltr.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S0 sptd; System32\Drivers\sptd.sys [X] U0 SR; No ImagePath U2 srservice; No ImagePath S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-21-3998210539-3065520669-1277161271-1000\...\RunOnce: [Adobe Speed Launcher] => 1418484034 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WRkrn => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WRSVC => ""="Service" HKU\.DEFAULT\Software\Classes\.exe: exefile => "%1" %* HKU\.DEFAULT\Software\Classes\exefile: "%1" %* HKU\S-1-5-21-3998210539-3065520669-1277161271-1000\Software\Classes\.exe: exefile => "%1" %* HKU\S-1-5-21-3998210539-3065520669-1277161271-1000\Software\Classes\exefile: "%1" %* AlternateDataStreams: C:\Windows:52B26DCB3CFD546A CMD: for /d %f in (C:\Users\Rafal\AppData\Local\{*}) do rd /s /q "%f" C:\Program Files\Google C:\Program Files (x86)\Docudesk C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\LuckyTab C:\Program Files (x86)\SlySoft C:\Program Files (x86)\UltraISO C:\Program Files (x86)\YourFileDownloaderUpdater C:\Program Files (x86)\Common Files\wruninstall.exe C:\ProgramData\*.bdinstall.bin C:\ProgramData\544020358666808469 C:\ProgramData\abnneabpmphhnjmdlgodooopbkldcmei C:\ProgramData\aojhllnpehhehgenedomgkjlefgnncpl C:\ProgramData\hnkmfkpngchicohnlimigjbcnoegahem C:\ProgramData\ibpomfegbjningepadaocdekniojcabf C:\ProgramData\iiepccdcclekcmlellfgifonbihejkfg C:\ProgramData\pllefemhbjgajpjkcdbfojijllfpajec C:\ProgramData\F-Secure C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NewPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\ProgramData\Temp C:\ProgramData\WindowsMangerProtect C:\Users\Rafal\AppData\Local\{*} C:\Users\Rafal\AppData\Local\setup.exe C:\Users\Rafal\AppData\Local\Google C:\Users\Rafal\AppData\Local\hitsblender C:\Users\Rafal\AppData\Roaming\_ C:\Users\Rafal\AppData\Roaming\WindApp.boostrap.log C:\Users\Rafal\AppData\Roaming\BITS C:\Users\Rafal\AppData\Roaming\CSOdessa C:\Users\Rafal\AppData\Roaming\DAEMON Tools Lite C:\Users\Rafal\AppData\Roaming\DAEMON Tools Pro C:\Users\Rafal\AppData\Roaming\DownloadManager C:\Users\Rafal\AppData\Roaming\FlashGet C:\Users\Rafal\AppData\Roaming\Foxit C:\Users\Rafal\AppData\Roaming\Google C:\Users\Rafal\AppData\Roaming\Leadertech C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\LuckyTab C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Rafal\AppData\Roaming\newnext.me C:\Users\Rafal\AppData\Roaming\Nosibay C:\Users\Rafal\AppData\Roaming\OpenFM C:\Users\Rafal\AppData\Roaming\Rovio C:\Users\Rafal\AppData\Roaming\SoftDMA C:\Users\Rafal\AppData\Roaming\Speedial C:\Users\Rafal\AppData\Roaming\TeamViewer C:\Users\Rafal\AppData\Roaming\Temp C:\Users\Rafal\AppData\Roaming\ttales C:\Users\Rafal\AppData\Roaming\TuneUp Software C:\Users\Rafal\AppData\Roaming\Uniblue C:\Users\Default\AppData\Roaming\TuneUp Software C:\Windows\SysWow64\Drivers\StarOpen.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloneCDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fc67e7a0} /f Reg: reg delete HKU\S-1-5-19\Software\Classes /f Reg: reg delete HKU\S-1-5-20\Software\Classes /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Rafal\AppData\Local CMD: dir /a C:\Users\Rafal\AppData\LocalLow CMD: dir /a C:\Users\Rafal\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Italian dictionary trzeba będzie przeinstalować. 4. Zrób nowe logi: - Logi FRST z opcji Scan (bez Addition i Shortcut). - W FRST w polu Search wklej frazę avgdiska, klik w Search Registry. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

Kończąc czyszczenie: 1. Jeszcze wtyczki Adobe Flash: używasz Google Chrome, które ma własny wewnętrzny Flash. Odinstaluj Adobe Flash Player 15 Plugin (to wersja dla Firefox i pochodnych), natomiast zaktualizuj Adobe Flash Player 15 ActiveX (to wersja dla IE). Instalator offline dla IE linkowany w przyklejonym: KLIK. 2. Usuń ręcznie wszystkie pobrane kopie FRST (były w różnych folderach). Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Utwórz ręcznie nowy punkt Przywracania systemu. Następnie zainstaluj Kasperskiego i sprawdź co się stanie. W razie zamulenia lub dodatkowych awarii pozbybasz się definitywnie programu / cofasz stan systemu. Przed instalacją Kasperskiego zdeaktywuj osłonę rezydentną MBAM.

Długie bezproblemowe używanie o niczym nie świadczy. Jak mówię: upewnij się. Myślałam, że Fix zahaczy o Vista, jednak nie. Zostaje ręczna metoda: KLIK. Wklej do Notatnika skrypt MS, zapisz pod nazwą fix.vbs, plik umieścić na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\fix.vbs i ENTER. A Fix FRST wykonany. Zastosuj DelFix.

To kolejny log z opcji Szukaj (AdwCleanerR1.txt), a ja prosiłam o log z opcji Usuń (AdwCleanerS0.txt).

Nie jest to problem infekcji, podane logi nie są pomocne do diagnostyki problemu i nic z nich nie wynika (widać tylko świeżą aktualizację sterowników nVidia oraz stary EXPERTool 6.4). Temat przenoszę do odpowiedniejszego działu Hardware. Materiały wymagane w dziale: KLIK. PS. Do deinstalacji odpadek adware Fabulous discounts (o ile go widać, bo może to szczątek), stare wersje Adobe oraz EXPERTool 6.4 (pamiętam tematy, w których występował negatywny kontekst tych starych sterowników): ==================== Installed Programs ====================== EXPERTool 6.4 (HKLM\...\EXPERTool_is1) (Version: - Gainward Co., Ltd) ==================== Drivers (Whitelisted) ==================== S3 Cardex; C:\WINDOWS\system32\drivers\TBPANEL.SYS [12256 2007-03-16] (Windows ® 2000 DDK provider) R2 TBPanel; C:\WINDOWS\system32\Drivers\TBPanel.sys [12256 2007-03-16] (Windows ® 2000 DDK provider) ==================== Registry (Whitelisted) ================== HKU\S-1-5-21-602162358-1637723038-725345543-1004\...\Run: [GAINWARD] => C:\Program Files\EXPERTool\TBPanel.exe [2177576 2008-06-04] (Gainward Co.)

Podaj mi jeszcze dodatkowe wyszukiwanie. Otwórz Notatnik i wklej w nim: CMD: dir /a C:\Users\Karolina\AppData\Roaming\Mozilla\Firefox\Profiles FindFolder: 78fhww9n.default Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Usuń ręcznie używane narzędzia z D:\PC_HELP_RU. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle.

W systemie grasuje infekcja SathurBot ładowana metodą ShellIconOverlayIdentifiers. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () BootExecute: PDBoot.exeautocheck autochk * sdnclean64.exe S3 cthda; \SystemRoot\system32\drivers\cthda.sys [X] S3 cthdb; \SystemRoot\system32\DRIVERS\cthdb.sys [X] Task: {6BA89DCA-2163-4ACC-A09A-3FDC4E6ECF3B} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {8A4E7231-8C00-4158-A528-1D2303D6296C} - System32\Tasks\{78303051-A97D-46F8-A129-565C8D318CCE} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_15_0_0_246_Plugin.exe -c -maintain plugin Task: {A9A447EF-87CC-4839-891E-8A6617CCA163} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {C47A7B77-16DA-4993-BDFF-C6F803E13425} - System32\Tasks\{E05BB42C-77A2-4EC7-8E51-A988B525AED3} => pcalua.exe -a "C:\Temp\Logitech\Windows 8\unifying210.exe" -d "C:\Temp\Logitech\Windows 8" HKLM-x32\...\Run: [] => [X] FF NetworkProxy: "type", 0 FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Temp C:\ProgramData\Microsoft\Secure C:\ProgramData\Spybot - Search & Destroy C:\Users\User-PC\Appdata\Local\ujmedia C:\Users\User-PC\Appdata\Local\ytpack C:\Windows\System32\Tasks\Safer-Networking Hosts: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SearchProtection /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTPack /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Ujmedia /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface oraz starszą wersję Java 8 Update 5 (64-bit). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Usterka naprawiona. Załaduj jeszcze minimalne poprawki. Otwórz Notatnik i wklej w nim: BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Avg_Update_1214tb RemoveDirectory: C:\Windows\SysWOW64\catroot2.bak Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.