picasso

Kolejność punktów = kolejność zadań. Skoro nie wspominam Trybu awaryjnego, operacje idą tradycyjnie w normalnym. Możesz oczywiście odinstalować i inne nieużywane aplikacje.

Log nie pokazuje żadnych zmian: 1. Router nadal zainfekowany: Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Co Ty właściwie robiłeś? To nie jest infekcja w Windows tylko w routerze i tu nie pomogą żadne skrypty / skany / fixy w Windows, musisz wyczyścić router i go zabezpieczyć wg podanych wcześniej kroków. Wszystko z poprzedniego pierwszego punktu nadal aktualne. 2. Nadal jest masowe [File not signed]. Jeśli to stan po użyciu narzędzia Fix-it, upewnij się, że nie masz zainstalowanej felernej łaty KB3004394: KLIK. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj, ponów reset narzędziem Fix It 50202. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

To potem, tylko wyklucz od razu instalację krytycznej łaty KB3004394, o ile Ci się pokazuje: KLIK. "Opróżnij gałązki" to nie była nazwa funkcji, tylko moje własne słowa opisowe co tam zrobić. Oczywiście to miało być wyczyszczenie Dzienników. Czyszczenie miało na celu odsiać błędy już nieaktualne po deinstalacji Kasperskiego. Pojawiły się nowe wtręty, aczkolwiek nie jest pewne czy wszystko jest aktualne: Application errors: ================== Error: (12/12/2014 05:21:56 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -1305. Error: (12/12/2014 05:04:44 AM) (Source: Microsoft-Windows-CAPI2) (EventID: 512) (User: ) Description: Zainicjowanie obiektu System Writer kopii zapasowej VSS przez Usługi kryptograficzne nie powiodło się. Details: Could not query the status of the EventSystem service. System Error: Trwa proces zamykania systemu. Error: (12/11/2014 11:03:40 PM) (Source: System Restore) (EventID: 8210) (User: ) Description: Wystąpił nieokreślony błąd podczas przywracania systemu: (Windows Update). Informacje dodatkowe: 0x8000ffff. System errors: ============= Error: (12/12/2014 06:48:26 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Google Update Service (gupdate) z powodu następującego błędu: %%1053 Error: (12/12/2014 06:48:26 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Google Update Service (gupdate). Error: (12/12/2014 06:46:06 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi WebcamMax, WDM Video Capture z powodu następującego błędu: %%1058 Error: (12/12/2014 05:27:35 AM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Windows Update zakończyła działanie; wystąpił następujący błąd: %%-2147467243 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny. 2. Proponuję jeszcze pozbyć się innych zbędnych zintegrowanych programów ASUS, np. AsusVibe2.0, Bing Bar (odpadnie kilka procesów startowych), Google Toolbar for Internet Explorer. 3. Uruchom Autoruns. - W karcie Services odznacz pozycje gupdate, gupdatem, NvNetworkService, NvStreamSvc, Stereo Service - W karcie Scheduled Tasks odznacz pozycje związane z Google. 4. Ponownie wyczyść Dzienniki zdarzeń (Aplikacja + System). Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S3 esihdrv; C:\Users\asus\AppData\Local\Temp\esihdrv.sys [122240 2014-12-09] (ESET) S3 cpuz135; \??\C:\Users\asus\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] C:\ProgramData\F-Secure C:\ProgramData\Temp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by dwa logi powstały. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występuje efekt "mulenia". .

Nie przeczytałeś najważniejszego, zasad działu: KLIK. Obowiązkowe raporty to FRST (raport główny), OTL (przestarzałe narzędzie, sprawdzany tylko pobocznie) oraz GMER. Raportów proszę nie wklejaj w poście, sieczka. Załącz oryginalne pliki w postaci załączników forum.

Zanim wykonasz to co powyżej upewnij się, że nie masz zainstalowanej felernej łaty KB3004394: KLIK. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj - popatrz i na aktualizację KB3024777 mającą się tym zająć: KLIK. Ponów reset narzędziem Fix It 50202 i zrób nowy log FRST.

Jest zainfekowany router. Pierwszy adres jest szkodliwy: KLIK. Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Dodatkowo, w systemie jest grubsza usterka, tzn. uszkodzenie jednej z baz Usług kryptograficznych - masowy odczyt [File not signed] usług i sterowników. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {746C72F3-2176-481A-8154-B2AF245CD7E5} - System32\Tasks\{D34A98BF-BA88-48F7-A375-278F9FD3E4C4} => pcalua.exe -a C:\Users\Bakoma\chomikbox\ero\Patricia\Patricia.exe -d C:\Users\Bakoma\chomikbox\ero\Patricia Task: {818B788E-0326-4781-840D-EE043A8FF409} - System32\Tasks\{E2034237-061F-4EC1-ACAB-F600B145FC8B} => pcalua.exe -a "C:\Users\Bakoma\chomikbox\ero\Sativa\VirtualFem v3.0.2b (Vista & 7).exe" -d C:\Users\Bakoma\chomikbox\ero\Sativa Task: {91F1E87D-E1A4-4D3C-9C4F-4EBBEFF86407} - System32\Tasks\{49365A3B-6144-4919-9B46-8C93F52DBF42} => C:\Program Files\Origin Games\The Sims 2 Ultimate Collection\Fun with Pets\SP9\TSBin\Sims2EP9.exe Task: {AFD08FF5-31A1-43F3-B749-41BBD30A600A} - System32\Tasks\{CDBE3CB2-77CC-4703-B5CA-96ADE8C1FE2F} => pcalua.exe -a J:\GDFTHR_inst.exe -d J:\ CHR HKLM\...\Chrome\Extension: [acaoakiamfeidcmgooclgeleejkbaecf] - C:\Program Files\WinToFlash Suggestor\WinToFlashSuggestor.crx [Not Found] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKLM -> DefaultScope value is missing. FF Plugin: @microsoft.com/Lync,version=15.0 -> C:\Program Files\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files\Mozilla Firefox C:\Users\Bakoma\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bakoma\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Bakoma\AppData\Roaming\Mozilla\Firefox C:\Windows\msdownld.tmp Folder: C:\Program Files (x86) Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX Packages" /f CMD: ipconfig /flushdns cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz pole Shortcut, bo zapomniałeś ten log podać). Dołącz też plik fixlog.txt.

Na początek sprawdź czy system samodzielnie potrafi odbudować pliki Windows Defender na dysku. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. PS. Jak mówię, mogłeś to ewentualnie widzieć na searchengines.pl - tam przez 7 lat byłam aktywna.

Działasz na karcie dedykowanej, Intel został wyłączony i nie żyje. Brak urządzenia, powiązane oprogramowanie jest martwe i nic nie robi - wspominałam też, że plik usługi igfxCUIService1.0.0.0 jest podejrzanie stary i nie wiem skąd tu taki wtręt. Po co to trzymać, odinstaluj powiązany program. Wszystko wygląda na wykonane. Zasadnicze pytanie: czy po przeprowadzonych czynnościach jest notowana poprawa w działaniu systemu?

Co dokładnie usuwałeś za pomocą Revo, jakie klucze rejestru, czy jest kopia zapasowa tego? Jak mówię, trzeba będzie wszystko zrekonstruować, bo będą problemy. Mylisz się. Jedyne obce forum, na którym działałam, to było searchengines.pl - miałam tam inny avatar. Nigdy nie udzielałam się na wymienianych przez Ciebie forach, nie mam tam nawet kont, z wyjątkiem dobrychprogramów (konto picasso_ = zero postów). Mój avatar nigdy nie był używany poza tym forum, bo dla swojego forum go przypisałam. Jeśli widziałeś mój avatar na innym forum, ktoś bezprawnie wykorzystał moje zdjęcie. Jeśli widziałeś nick "picasso" na tamtych forach, to nie jest moje konto.

mag1492, przecież to zupełnie inny program Advanced System Care. To coś w ogóle nie zostało tu zalecone, nie nadaje się do zadania, które jest na widoku. Na dodatek wspominałam co sądzę o programach IOBit już na samym początku, to jak mogłabym zalecać używanie tego w swoich instrukcjach czyszczących. Wyraźnie podałam, że masz uruchomić program AdwCleaner: Proszę kliknij w niebieski link, przekieruje Cię do tematu z opisem narzędzia i linkiem pobierania.

Do wdrożenia są jeszcze dodatkowe operacje zamykające czyszczenie, ale na razie nic nie podaję, bo starasz się odzyskać pliki. Jeszcze zagaję na temat Przywracania systemu: czy ta funkcja została celowo wyłączona? Przykro mi, że ucierpiałeś, ale tu jest kwestia interpretacji co to są "ważne dane": - Cookies odpowiada za automatyczne logowanie, ale nie za pamiętanie haseł. Loginy / hasła (zlokalizowane w innym pliku) nie są ruszane. - Historia to jest rodzaj niepermanentnego "śmietnika". Jeśli coś jest "ważne", to czy na pewno powinno być to tylko na poziomie ulotnej historii a nie w stałych zakładkach? OTL ogranicza się do cache przeglądarek. W FRST funkcja poszerzona o Cookies i Historię, ponieważ infekcje zostawiają tam ślady.

Nie odpowiedziałeś mi na to pytanie. To nie ja. Jedyne forum, na którym działałam, to było searchengines. Obecnie prowadzę własne tutejsze fixitpc.pl i to jedyne forum na którym działam.

Sprawdź jeszcze: - Czy pomoże następująca edycja: uruchom Firefox w awaryjnym Windows, w pasku adresów wklep about:config, wyszukaj wartość layers.offmainthreadcomposition.enabled i przestaw na false. - Czy działa poprawnie klon Firefoxa Cyberfox. A w zakresie czyszczenia systemu ze śmieci skończyliśmy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Niestety brak zmian, nadal masowy odczyt "[File not signed]". Jest prawdopodobne, że to uszkodzenie catroot, a to jest niemożliwe do zresetowania (folder jest nieodtwarzalny). Na początku tematu były tu dwa punkty Przywracania systemu: ==================== Restore Points ========================= 09-12-2014 09:25:31 Removed Corel Graphics - Windows Shell Extension. 10-12-2014 08:55:48 Removed Corel Graphics - Windows Shell Extension. O ile one magicznie nie zniknęły, spróbuj z nich selektywnie wyciągnąć starszą postać catroot: 1. Uruchom Shadow Explorer (portable). Z menu rozwijanego wybierz najstarszą datę z dnia 09-12-2014. Następnie z boku w eksploratorze wyszukaj folder C:\Windows\system32\catroot (nie catroot2). Z prawokliku na ten folder opcja Export i wskaż jako miejsce docelowe Pulpit. Na Pulpicie pojawi się folder catroot. 2. Następnie zpoziomu normalnego eksploratora Windows otwórz folder C:\Windows\system32\catroot. W folderze tym są dwa podfoldery: {127D0A1D-4EF2-11D1-8608-00C04FC295EE} {F750E6C3-38EE-11D1-85E5-00C04FC295EE} Z prawokliku zmień im nazwy dopisując przedrostek OLD (przy pytaniu o podnoszenie uprawnień zatwierdź): OLD{127D0A1D-4EF2-11D1-8608-00C04FC295EE} OLD{F750E6C3-38EE-11D1-85E5-00C04FC295EE} Następnie z folderu catroot na Pulpicie przekopiuj foldery {127D0A1D-4EF2-11D1-8608-00C04FC295EE} + {F750E6C3-38EE-11D1-85E5-00C04FC295EE} do C:\Windows\system32\catroot (przy pytaniu o podnoszenie uprawnień zatwierdź). Upewnij się, że oba foldery się wstawiły, bez nich katastrofa przy restarcie nastąpi. Jeśli pojawią się jakiekolwiek błędy przy kopiowaniu, STOP i nie resetuj komputera, zgłaszasz się na forum i opisujesz dokładnie gdzie jest błąd. Natomiast jeśli nie będzie żadnego błędu, możesz przejść dalej: 3. Wejdź do folderu C:\Windows\system32\CodeIntegrity i zmień nazwę pliku bootcat.cache dopisując mu OLD. 4. Zresetuj system i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). .

Brakuje raportu FRST Shortcut oraz OTL Extras. Posługujesz się ciut starszą wersją FRST. Pobierz najnowszą z linka w przyklejonym: KLIK. Zrób nowe raporty (pola Addition + Shortcut zaznaczone).

antii7, na temat używania ComboFix: KLIK. I przedstaw log C:\ComboFix.txt, bo musi być wiadome co on robił, oraz wycinki z dziennika Avast co usuwał. Dodatkowo, dostarczony tu zestaw logów jest niekompletny: KLIK. Proszę dostarcz logi z FRST.

AdwCleaner czepia się niekiedy rzeczy, których nie powinien. Skoro QQ okazał się zbędnikiem, deinstalacja jest poprawną metodą pozbycia się. Po deinstalacji możesz ponownie uruchomić AdwCleaner, zastosować sekwencję Szukaj + Usuń i dostarczyć wynikowy log AdwCleanerS0.txt.

Baza kryptograficznych została naprawiona, zniknął masowy odczyt "[File not signed]". Ale: Już na początku zaniepokoił mnie ten fragment wspominający "Windows Defender", a także mocno podejrzane punkty Przywracania systemu: ==================== Restore Points ========================= 10-12-2014 14:10:52 Revo Uninstaller Pro's restore point - Windows Defender 10-12-2014 14:14:17 Installed Windows Defender 10-12-2014 15:09:22 Installed Windows Defender To komponent zintegrowany z systemem (aplikacja "wrośnięta") i nie można go "odinstalować" tak jak to robi się z tradycyjnymi programami. Już w pierwszym raporcie nie widziałam usługi Windows Defender, teraz po włączeniu pokazywania wszystkich usług jest pewne, że Windows Defender został stratowany, conajmniej na poziomie usługi (całkowity brak usługi WinDefend). Opisz mi co konkretnie robiłeś z "Windows Defender", czy również usuwałeś z dysku foldery C:\Program Files\Windows Defender + C:\Program Files (x86)\Windows Defender oraz inne odnośniki w rejestrze? Czy da się to wszystko przywrócić z kopii zapasowej Revo? Jeśli zmajstrowałeś coś w tym obszarze, będzie ciężko to odtworzyć. Tego komponentu nie da się "przeinstalować", to część systemu. PS. I to doczyszczanie śmieci i szczątków programów wdróż. Instrukcje w spoilerze:

Temat przenoszę do działu Windows, nie jest to problem infekcji. Potem do czyszczenia zadam szczątki adware i inne drobne korekty. Obecnie nie jest to istotne, gdyż: W logu FRST widoczne uszkodzenie baz Usług kryptograficznych - usługi i sterowniki Microsoftu masowo oznaczone jako niepodpisane cyfrowo. Dysfunkcja tego komponentu oznacza liczne problemy (z aktualizacjami, instalacjami). Rozpocznij od próby resetu bazy catroot2: 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 2. Zresetuj system. Zrób nowy log FRST z opcji Scan na następującym warunku: odznacz pola Whitelist dla pozycji Services + Drivers.

Poprzednie akcje pomyślnie wykonane, ale: Wyłączył (efekt "odciętego prądu") czy automatycznie zresetował? W raporcie widoczna nowa usterka - wszystkie usługi i sterowniki Microsoftu są oznaczone jako niepodpisane cyfrowo [File not signed]. Uległa uszkodzeniu baza Usług kryptograficznych (catroot2 lub catroot), przy czym tylko catroot2 można zresetować. 1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwględnia reset bazy kryptograficznych. 2. Zresetuj system. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Adnotacja "Ten plik pochodzi z innego komputera..." to standard. Pliki (niezależnie od ich szkodliwości) pobrane przy udziale przeglądarek Internet Explorer i Firefox mają doklejanie strumienie ZoneIdentifier, stąd ten komunikat: KLIK. Pobierz dowolny instalator (np. Opera) i zobaczysz, że on także ma identyczny komunikat we Właściwościach. Plik siedzi w Downloads, został pobrany ręcznie skądś, więc wyrzucić go można bez zastanawiania się. Nie wiem co to jest, ale szukając wg tej nazwy na Google pojawiają się jakieś podejrzane linki.

To zróbmy właśnie tak: spróbuj odinstalować KIS z poziomu Trybu normalnego, niezależnie od tego czy się uda wchodzisz w Tryb awaryjny i uruchamiasz specjalny usuwacz Kaspersky Remover.

Udało mi się wyszukać bezpośredni polski instalator IE8. Wklej w przeglądarce ten adres: http://go.microsoft.com/fwlink/?linkid=261544 Powinno się rozpocząć pobieranie pliku IE8-WindowsXP-x86-PLK.exe Dla świętego spokoju sprawdź czy Firefox działa w Trybie awaryjnym Windows, gdy to sterowniki nVidia nie są ładowane, i czy można w opcjach przestawić akcelerację sprzętową.

Wynik kompletnie bez znaczenia, nie ma żadnego wpływu na nic i jeszcze sama detekcja wygląda na fałszywy alarm. To wynik ze śmieci, skan instalatora w Koszu (C:\$Recycle.Bin): Begin scan in 'C:\' C:\$Recycle.Bin\S-1-5-21-4196851609-761679857-3791608890-1001\$RRC8IAL.exe [0] Archive type: 7-Zip SFX (self extracting) --> Talisman/winmm.dll [DETECTION] Is the TR/Patched.LZ Trojan [WARNING] Infected files in archives cannot be repaired Wątpię w infekcję. Brak śladów tego rodzaju. Tu pierwszym podejrzanym jest COMODO Internet Security. Na próbę odinstaluj i sprawdź jak wtedy wygląda sytuacja. Po deinstalacji COMODO do korekty tylko drobnostki. Instrukcja zakłada, że nie będzie już COMODO (on zablokuje FRST). Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4196851609-761679857-3791608890-1000\...\RunOnce: [Adobe Speed Launcher] => 1418329809 GroupPolicyUsers\S-1-5-21-4196851609-761679857-3791608890-1001\User: Group Policy restriction detected EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go.

Niestety system znów porządnie zaśmiecony. Metody nabycia adware: KLIK. Powtórka z rozrywki: 1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\ProgramData\IePluginServices\PluginService.exe (Fuyu LIMITED) C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe (Taiwan Shui Mu Chih Ching Technology Limited.) C:\Program Files (x86)\WinZipper\winzipersvc.exe R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [714208 2014-11-21] (Cherished Technololgy LIMITED) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-10] (Fuyu LIMITED) [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425136 2014-11-26] (Taiwan Shui Mu Chih Ching Technology Limited.) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK ShortcutWithArgument: C:\Users\Remek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416559280&from=smt&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK&q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1000 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> {E8FA2325-7F80-4757-83C1-4DA099082835} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F9A780BD-8EF8-4ACB-B625-28DB11D43D6E&apn_sauid=FCD22013-E420-4A72-ADE2-B432F89CD7DE Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-553344540-897006182-1067068338-1005 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF HKLM-x32\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Users\Remek\AppData\Roaming\Mozilla\Firefox\Profiles\rytgjno9.default-1416334012505\extensions\detgdp@gmail.com FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?type=sc&ts=1418207006&from=wpm12103&uid=ST9320423AS_5VH33EHKXXXX5VH33EHK Unlock: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} C:\Users\Remek\Downloads\*(*)-dp*.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKU\S-1-5-21-553344540-897006182-1067068338-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-553344540-897006182-1067068338-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart systemu. Powstanie fixlog.txt. 2. Przez Panel sterowania odinstaluj adware KMPlayer Toolbar Updater, WindowsMangerProtect20.0.0.1270, WinZipper oraz zbędnik MyFreeCodec Samsunga. 3. W systemie są dwa konta: ========================= Accounts: ========================== Remek (S-1-5-21-553344540-897006182-1067068338-1000 - Administrator - Enabled) => C:\Users\Remek serwis (S-1-5-21-553344540-897006182-1067068338-1005 - Administrator - Enabled) => C:\Users\serwis Zaloguj się a każde po kolei poprzed pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowe logi FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały po dwa logi. Dołącz też plik fixlog.txt. .