picasso

Obrazek sugeruje, że tu raczej nie pomoże kontekst innego konta. Wg obrazka uprawnienia są całkowicie wymazane - brak jakichkolwiek kont i grup mających dostęp - tu nie tylko więc chodzi o to, że jedno konto użytkownika utraciło dostęp. Skoro ACL jest puste, konto Administrator też nie będzie mieć dostępu. Oba tematy zostają sklejone. W poprzednim temacie był problem z uprawnieniami C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories. Tu z kolei wychodzi kolejna ścieżka C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP. Proszę o spis uprawnień folderów "od samej góry do zgłoszonego punktu" i listę co jest w "Programs": Pobierz najnowszy FRST (poprzednio używany stary): KLIK. Otwórz Notatnik i wklej w nim: ListPermissions: C:\ ListPermissions: C:\ProgramData ListPermissions: C:\ProgramData\Microsoft ListPermissions: C:\ProgramData\Microsoft\Windows ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu\Programs ListPermissions: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż raport fixlog.txt.

W systemie jest aktywny sterownik adware (wStLibG64.sys), pozostawiony po niekompletnym usuwaniu adware. Owszem, może być on przyczyną kłopotów z otwieraniem stron. Przeprowadź następujące działania: 1. Na początek odinstaluj stare wersje: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin. Najnowsze zostaną zainstalowane na końcu. 2. Następnie w przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie WOT trzeba będzie przeinstalować. - Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-07] (StdLib) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Iwonka\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\...\Run: [HW_OPENEYE_OUC_blueconnect] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-06-23] (Huawei Technologies Co., Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKLM-x32 -> DefaultScope value is missing. Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\Program Files (x86)\Smart PC Cleaner C:\Users\Iwonka\AppData\Roaming\OpenCandy C:\Users\Iwonka\Downloads\ViberSetup*.exe C:\Windows\System32\drivers\wStLibG64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Czy problemy zgłoszone w pierwszym poście ustąpiły? Wszystko wykonane pomyślnie. Teraz uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Ostatecznie możesz spróbować czy plik odzyska Recuva Portable. Program pobierz na i uruchom z innego dysku niż C (czyli ten z którego odzyskiwanie ma nastąpić), np. pendrive.

1. Skoro Norton już nie działa, to go po prostu odinstaluj całkowicie. Na początek zrób normalną deinstalację poprzez Panel sterowania, a po tym zastosuj jeszcze dla pewności narzędzie Norton Removal Tool. 2. Fix wykonany. Te zadania Harmonogramu nadal niejasne gdzie AdwCleaner je widzi, skoro FRST wręcz przeciwnie. Podaj mi jeszcze dodatkowe skany. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree" CMD: dir /a C:\Windows\Tasks CMD: dir /a C:\Windows\System32\Tasks CMD: dir /a C:\Windows\SysWOW64\Tasks Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.Przedstaw wynikowy fixlog.txt.

Proszę obejrzyj zasady działu jakie logi są tu wymagane: KLIK. OTL (logi niepełne zresztą, brak Extras) - przestarzałe narzędzie sprawdzane tylko pobocznie. Obecnie obowiązkowe są raporty FRST - dostarcz. Temat przesuwam do działu Windows. Od razu powiem, że objawy nie wyglądają na infekcję, tylko na uszkodzenie pliku związanego z usługą. "Nie można odczytać opisu", który jest pobierany z pliku: %ProgramFiles%\Windows Defender\MsMpRes.dll,-1176. Dodaj skan na weryfikację plików: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Czy istnieje folder C:\Windows\winsxs\amd64_microsoft-windows-o..iadisc-style-sports_31bf3856ad364e35_6.1.7600.16385_none_c1c84490c211896e na dysku? Czy miejsce jest czytelne, tzn. nie ma czegoś podobnego do: KLIK? Zamiennie możesz sprawdzić co powie komenda: CMD: copy /y C:\Pliki\SportsMainBackground.wmv C:\Windows\winsxs\amd64_microsoft-windows-o..iadisc-style-sports_31bf3856ad364e35_6.1.7600.16385_none_c1c84490c211896e\SportsMainBackground.wmv

Niezbyt dużo tu jest do czyszczenia - trochę adware (raczej stare obiekty) oraz wpisy puste. 1. Rozpocznij od deinstalacji starych wersji oraz obiektów sponsoringowych i adware: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader XI - Polish, AVG SafeGuard toolbar, Foxtab, Image Composite Editor Packages, Skype Packages, Update for Video Converter, Video Converter Packages, WPM17.8.0.3297 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Paulinka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1383316283&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WX90A992232122321&q={searchTerms} SearchScopes: HKU\.DEFAULT -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=5452fb47000000000000000000000000 SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=5452fb47000000000000000000000000 SearchScopes: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={B9C74FB1-DD8A-4892-8118-D2EE4A246833}&mid=ab371f49cd7147d398a4d16f642adaf7-e161a93104eaf741d93155fade9eef6dced24665&lang=en&ds=co011&coid=&cmpid=&pr=sa&d=2013-06-22 21:33:18&v=18.1.9.799&pid=safeguard&sg=0&sap=dsp&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank Toolbar: HKU\S-1-5-21-3453456924-2562164534-3920574783-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799 HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3453456924-2562164534-3920574783-1000\...\Run: [AdobeBridge] => [X] Task: {08375E42-536C-4832-A95F-CF6F509D3FE1} - System32\Tasks\FoxTab => C:\Users\Paulinka\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {4376E3BC-071B-4267-BCA7-6D1E3F0FEA97} - System32\Tasks\{DF4CA663-8A7D-42D4-8420-D5404A0CE79B} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=12002 Task: {D31288D5-3695-4795-92B9-06FE3B03A72F} - System32\Tasks\DSite => C:\Users\Paulinka\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-02-20] () Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Paulinka\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\Program Files (x86)\mozilla Firefox\browser\searchplugins\safeguard-secure-search.xml C:\ProgramData\WPM C:\Users\Paulinka\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Paulinka\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Paulinka\AppData\Roaming\Babylon C:\Users\Paulinka\AppData\Roaming\DSite C:\Users\Paulinka\AppData\Roaming\FoxTab C:\Users\Paulinka\AppData\Roaming\Video Converter Packages Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Komenda wygląda poprawnie - jaki błąd widzisz podczas jej wykonywania?

To jest usuwacz awaryjny, gdy nie jest możliwa poprawna deinstalacja (lub do poprawek po deinstalacji). Zawsze się powinno zaczynać od standardowej deinstalacji. Jeśli tu dojdzie w ogóle do deinstalacji Avast, najpierw niech rozpocznie od deinstalacji via Panel sterowania, po tym może poprawić usuwaczem.

AdwCleaner widzi pasek Nortona jako "szkodliwy", należy to pominąć - AdwCleaner nie będę używać do usuwania tego co znalazł, bo pewne rzeczy chcę zrobić inaczej. Ale hmmm: AdwCleaner pokazuje zadania w Harmonogramie, których nie było widać w FRST Addition... Poproszę o nowy log FRST Addition. Ponadto: 1. Otwórz Notatnik i wklej w nim: C:\Users\Jakub\AppData\Roaming\Mozilla\Firefox\Profiles\crw3o7qs.default C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Preferences RemoveDirectory: C:\Users\Jakub\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{323C6E6D-1621-470F-8A52-4FDEC4E75E40} /f Reg: reg delete HKCU\Software\Mozilla\Extends /f Reg: reg delete HKCU\Software\Softonic /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C87834EB-A2A0-B9D4-AA9A-C263D1191051} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\RegClean Pro_is1" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\RegClean-Pro_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\S-576482620 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\32DA746012E6D4F488AAD113D6FA4A44 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF767AE36C8829547ACD71A4249A42B9 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\526AB318AF0B8D84B9579557C9882C91 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Po akcji uruchom Operę, powinna przebudować plik Preferences.

DelFix skasował plik nie pochodzący od narzędzi: C:\Users\marek\Downloads\Info !!!.txt. Czy to było coś ważnego? Nie powinien, to inny typ ochrony niż klasyczny "antywirus", w wersji darmowej ograniczony tylko do określonych przeglądarek i ich dodatków. Aczkolwiek nigdy nic nie wiadomo z żadnym softem. Po prostu sprawdź jak to działa u Ciebie.

Miałeś przedstawić fixlog.txt. Jeśli chodzi o deinstalacje emulatorów, to czy mam rozumieć, że Alcohol wrócił na miejsce? Nie ma żadnych śladów jego deinstalacji (pełna instalacja w logu), DAEMONa owszem tak (do skasowania z dysku zakreślone fragmenty). Problem jest dla mnie niejasny, ale skoro ustąpił, to nic więcej nie jestem w stanie stwierdzić.

I żadnych problemów już nie notujesz? Fix wykonany. Idziemy dalej. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Wykonaj jednak kosmetyczne działania pod kątem wpisów szczątkowych i zbędników: Pytaniem jest co konkretnie wtedy odinstalowałeś (DAEMON Tools Pro?), gdyż w bieżącym raporcie widzę prujący emulator i czynny sterownik SPTD (tego sterownika nie usuwają deinstalacje Alcohol i DAEMON): ==================== Registry (Whitelisted) ================== HKU\S-1-5-21-2976393736-4141034180-2004366809-1001\...\Run: [AlcoholAutomount] => C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [75624 2012-01-05] (Alcohol Soft Development Team) ==================== Services (Whitelisted) ================= S2 AxAutoMntSrv; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe [75624 2012-01-05] (Alcohol Soft Development Team) R2 StarWindServiceAE; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [370688 2009-12-23] (StarWind Software) [File not signed] ==================== Drivers (Whitelisted) ==================== R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-12-06] (Duplex Secure Ltd.) vs. szczątki: 2014-11-25 23:59 - 2014-11-29 19:02 - 00000000 ____D () C:\Users\Public\Documents\DAEMON Tools Images 2014-11-25 23:48 - 2014-11-25 23:49 - 17165432 _____ (Disc Soft Ltd) C:\Users\Qonster\Downloads\DTPro600-0445.exe 2014-11-25 23:26 - 2014-11-25 23:57 - 00000000 ____D () C:\Users\Qonster\AppData\Roaming\DAEMON Tools Pro 2014-11-25 23:24 - 2014-11-25 23:26 - 00000000 ____D () C:\ProgramData\DAEMON Tools Pro 2014-11-25 23:20 - 2014-11-25 23:20 - 20013776 _____ (DT Soft Ltd) C:\Users\Qonster\Downloads\DAEMONToolsPro520-0348.exe Na dysku powstał folder C:\FRST. Sprawdź czy jest w nim niepusty podfolder Hives.

Sprawdź czy przejdzie ta oporna komenda z poziomu Trybu awaryjnego Windows. RemoveDirectory: C:\FRST\Quarantine

No to mamy z głowy. Finalizujemy sprawy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Pobrany GMER dokasuj ręcznie. 2. Proponuję wypróbować darmową wersję Malwarebytes Anti-Exploit, w celu podstawowego zabezpieczenia przed podobnymi przypadkami. Tu już wg uznania, choć im mniej ładuje się wtyczek w Firefox, tym lepiej. Z tych pozostałych, jeśli używane, możesz ustawić je na "Pytaj o aktywację". RayV Plugin powinno służyć do odtwarzania materiałów strumieniowych platformy RayV, nie wiem czy to jeszcze działa, gdyż w tym roku RayV przejęte zostało przez Yahoo.

Mimo wszystko dostarcz raporty FRST spod Windows.

Użycie ComboFix było tu niefortunne - nie odbyły się poprawne deinstalaje adware via Panel sterowania, ComboFix po prostu wybiórczo na chama wywalal z dysku. To ma skutki uboczne (większa ilość odpadkowych wpisów np. w rejestrze). I nie rozwiązał problemów zasadniczych, było to po prostu usuwanie na pół gwizdka. Czy notujesz poprawę w działaniu systemu i sieci po przeprowadzeniu podanych przeze mnie akcji? Wszystko zrobione. GS_Sustainer dokończę ręcznie. Wymagane też inne poprawki: 1. Zapomniałam podać poprzednio, że jeszcze Safari do deinstalacji. Stara nieaktualizowana i dziurawa przeglądarka. 2. Usunięcie szczątków odinstalowanych programów. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [spywareTerminatorShield] => C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.exe HKLM\...\Run: [spywareTerminatorUpdater] => C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath C:\Users\Administrator C:\Users\Gość C:\Program Files\004 C:\Program Files\coupon downloader C:\Program Files\CouponDownloader C:\Program Files\Quiknowledge C:\Program Files (x86)\Atlantis C:\Program Files (x86)\PLAY ONLINE C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Spyware Terminator C:\Program Files (x86)\Steam C:\Program Files (x86)\Tor C:\Program Files (x86)\Zero G Registry C:\ProgramData\ad8b0607b925e898 C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\Internet w Cyfrowym Polsacie C:\ProgramData\McAfee C:\ProgramData\neglfglbmccpmphoegndhmlcnbfnjfkn C:\ProgramData\Orbit C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Steam C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Poker MIRA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ParisVegasCasino C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SlotsMagic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unibet Poker C:\Users\Jakub\AppData\Local\360Amigo C:\Users\Jakub\AppData\Local\AuxClient C:\Users\Jakub\AppData\Local\avgchrome C:\Users\Jakub\AppData\Local\BetOnSoft C:\Users\Jakub\AppData\Local\bluesoleil C:\Users\Jakub\AppData\Local\cache C:\Users\Jakub\AppData\Local\CarbonPoker C:\Users\Jakub\AppData\Local\Chromium C:\Users\Jakub\AppData\Local\Comodo C:\Users\Jakub\AppData\Local\CPN C:\Users\Jakub\AppData\Local\eclipse C:\Users\Jakub\AppData\Local\ESET C:\Users\Jakub\AppData\Local\FullTiltPoker C:\Users\Jakub\AppData\Local\FullTiltPoker.eu C:\Users\Jakub\AppData\Local\TB C:\Users\Jakub\AppData\Local\Torch C:\Users\Jakub\AppData\LocalLow\Sun C:\Users\Jakub\AppData\LocalLow\TB C:\Users\Jakub\AppData\Roaming\Ascarial C:\Users\Jakub\AppData\Roaming\BESTplayer C:\Users\Jakub\AppData\Roaming\betonline C:\Users\Jakub\AppData\Roaming\com.relax-gaming.skywalker C:\Users\Jakub\AppData\Roaming\fullflush C:\Users\Jakub\AppData\Roaming\GrandMacao C:\Users\Jakub\AppData\Roaming\Might & Magic Heroes VI C:\Users\Jakub\AppData\Roaming\PLAY ONLINE C:\Users\Jakub\AppData\Roaming\Steam C:\Users\Jakub\AppData\Roaming\WebApp C:\Users\Jakub\AppData\Roaming\WorldofTanks Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{4d349a54} /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt - przedstaw go. .

Brak danych o systemie. Skoro z dysku nic się nie da uruchomić (czyli i dostarczyć obowiązkowych raportów), poproszę o log FRST z poziomu środowiska zewnętrznego RE: KLIK.

Mamy kolejne problemy do rozwiązania, tzn. pozbycie się starych instalacji oprogramowania zabezpieczającego: archaiczny (z 2007!) Agnitum Outpost Firewall Pro skombinowany z niepoprawnie odinstalowanym McAfee który nadal się ładuje. To z pewnością blokuje normalny start systemu. Akcja: 1. Rozpocznij od poprawnych deinstalacji via Panel sterowania następujących pozycji: - Stare wersje: Adobe AIR, Adobe Flash Player 14 ActiveX, Adobe Reader 9.1 - Polish, Agnitum Outpost Firewall Pro, Java™ 6 Update 30, Skype™ 4.2. - Adware/niepożądane aplikacje: FoxTab FLV Player, FoxTab Music Converter, FoxTab PDF Creator. 2. Zastosuj McAfee Consumer Products Removal tool. 3. Posługujesz się starym FRST - pobierz najnowszą wersję z przyklejonego i zrób nowe logi: główny + Addition, Shortcut niepotrzebny już ponownie. .

Takie drobne instalacje są tu bez znaczenia, miałam na myśli instalacje oparte na sterownikach (czyli np. najnowsza wersja MagicISO). Z tymi powstrzymaj się jeszcze, dopóki nie przejdziemy do określonego etapu. 1. Uruchom Operę (tę najnowszą) i w opcjach w zarządzaniu wyszukiwarkami skasuj wyszukiwarkę adware kierującą na adres mystart.incredibar.com. Następnie w AdwCleaner wybierz sekwencję Szukaj + Usuń. Log już niepotrzebny. 2. FRST wyłożył się na usuwaniu własnej kwarantanny. Ładuj nowy skrypt fixlist.txt o postaci poniżej i dostarcz wynikowy fixlog.txt. RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine

Proszę ponownie dostarcz log z FRST z poziomu środowiska zewnętrznego RE: KLIK.

Uwagi wstępne: - System jest potwornie zaśmiecony adware (m.in. mnóstwo sterowników się ładuje w tle). Dodatkowo, adware przekonwertowało wersję przeglądarki Google Chrome z wersji stabilnej do development i wymagana kompleksowa einstalacja. Adware nabyłeś na jeden z tych sposobów: KLIK. O zgrozo, najnowszy nabytek (czyli Faster Light) niestety z dobrychprogramów przy pobieraniu Sopcast (uruchomiłeś "Asystenta pobierania" a nie poprawny instalator). - Prócz adware, są tu także lewe skanery wątpliwej reputacji mające negatywny wpływ na system, czyli SpyHunter i YAC. O YAC szczegółowo pisałam w tym temacie: KLIK. Na okrasę działa tu jeszcze przeterminowny i kompletnie zbędny przy Nortonie Spyware Terminator 2012. - Używałeś ComboFix. Na przyszłość dlaczego nie jest to dobry pomysł: KLIK. Wstępnie przeprowadź następujące operacje, kolejność jest ścisła: 1. Przez Panel sterowania odinstaluj adware, wątpliwe skanery i stare wersje: Faster Light, Google Chrome, Java 7 Update 55 (64-bit), GS_Sustainer 1.80, Qtrax Player, SpyHunter, Spyware Terminator 2012, YAC(Yet Another Cleaner!). Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki. Resztę dokończy mój skrypt poniżej. Nie instaluj na razie ani Google Chrome, ani innych programów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {023ffe30-e38b-4272-b1c0-1e9f6a180b9d}w64; C:\Windows\System32\drivers\{023ffe30-e38b-4272-b1c0-1e9f6a180b9d}w64.sys [48784 2014-10-22] (StdLib) R1 {146928e7-d9fa-4f71-af0f-f42261fb9843}w64; C:\Windows\System32\drivers\{146928e7-d9fa-4f71-af0f-f42261fb9843}w64.sys [48784 2014-10-14] (StdLib) R1 {2f76abac-1058-4d18-a9d9-382d3a1b32c3}w64; C:\Windows\System32\drivers\{2f76abac-1058-4d18-a9d9-382d3a1b32c3}w64.sys [48784 2014-10-15] (StdLib) R1 {35d31228-a1dd-4d11-a2ff-ef6ba162cebd}w64; C:\Windows\System32\drivers\{35d31228-a1dd-4d11-a2ff-ef6ba162cebd}w64.sys [48784 2014-10-15] (StdLib) R1 {544deb5f-dfba-4914-8002-1f35ae7182a3}w64; C:\Windows\System32\drivers\{544deb5f-dfba-4914-8002-1f35ae7182a3}w64.sys [48784 2014-10-18] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}Gw64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys [61072 2014-07-25] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [61584 2014-08-07] (StdLib) R1 {5637c139-b301-4ecd-a2cf-2ae75f214b07}w64; C:\Windows\System32\drivers\{5637c139-b301-4ecd-a2cf-2ae75f214b07}w64.sys [48784 2014-10-21] (StdLib) R1 {76152aee-de6d-453d-a8d8-6f11a0085df8}w64; C:\Windows\System32\drivers\{76152aee-de6d-453d-a8d8-6f11a0085df8}w64.sys [48784 2014-10-19] (StdLib) R1 {7e4355b8-96cd-43eb-b59a-82af29f01b16}w64; C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w64.sys [48784 2014-10-22] (StdLib) R1 {871e60bd-7aec-4938-a4b2-ffde58590efe}w64; C:\Windows\System32\drivers\{871e60bd-7aec-4938-a4b2-ffde58590efe}w64.sys [48784 2014-10-18] (StdLib) R1 {999a4cbb-05c0-4612-9e48-e2b9897a2c6f}w64; C:\Windows\System32\drivers\{999a4cbb-05c0-4612-9e48-e2b9897a2c6f}w64.sys [48784 2014-10-20] (StdLib) R1 {a5b0d4ec-75a8-4454-a9c1-5675585828ec}w64; C:\Windows\System32\drivers\{a5b0d4ec-75a8-4454-a9c1-5675585828ec}w64.sys [48784 2014-10-17] (StdLib) R1 {af7618ea-6d4f-47e5-9e06-5f808487ae22}w64; C:\Windows\System32\drivers\{af7618ea-6d4f-47e5-9e06-5f808487ae22}w64.sys [48784 2014-10-19] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64.sys [61120 2014-04-24] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}w64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys [61120 2014-05-22] (StdLib) R1 {c42edeec-c173-4c88-9a7f-6934088af032}w64; C:\Windows\System32\drivers\{c42edeec-c173-4c88-9a7f-6934088af032}w64.sys [48784 2014-10-20] (StdLib) R1 {c746a0c9-95e3-4ce8-9e9f-58fac8587b02}w64; C:\Windows\System32\drivers\{c746a0c9-95e3-4ce8-9e9f-58fac8587b02}w64.sys [48784 2014-10-17] (StdLib) R1 {d6c3bca9-e5f7-466a-ab38-ae66db286392}w64; C:\Windows\System32\drivers\{d6c3bca9-e5f7-466a-ab38-ae66db286392}w64.sys [48784 2014-10-16] (StdLib) R1 {f7e972a4-3731-46b4-91a5-4140fc1009e8}w64; C:\Windows\System32\drivers\{f7e972a4-3731-46b4-91a5-4140fc1009e8}w64.sys [48784 2014-10-16] (StdLib) U5 AppMgmt; C:\Windows\system32\svchost.exe [29696 2012-10-30] (Microsoft Corporation) R2 MaintainerSvc2.02.5636706; C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8\maintainer.exe [123632 2014-12-10] () R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-07] () [File not signed] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S2 SDScannerService; "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe" [X] S2 SDUpdateService; "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe" [X] S2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [X] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] S2 Util Deal Keeper; "C:\Program Files (x86)\Deal Keeper\bin\utilDealKeeper.exe" [X] S1 qknfd; system32\drivers\qknfd.sys [X] Task: {44CA5A3B-6ADD-459E-A286-E1F9C54D3B76} - \Optimizer Pro Schedule No Task File Task: {565D151E-94BC-4423-A7AF-7D490D2BACCD} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {6AE3FD03-9227-4E06-AED8-3D8A96DD0E27} - \Yahoo! Search Updater No Task File Task: {A4BCA62E-4917-4FE6-97E5-1D70C21F57FC} - \AdobeFlashPlayerUpdate No Task File Task: {B5B8A379-964D-4D1F-B339-D3DEF324A372} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {BF24ADAC-A313-438F-848F-783951D0D833} - \Yahoo! Search No Task File Task: {D2B8CCB8-F3B7-42F8-8223-D14439F9660F} - \SpyHunter4Startup No Task File Task: {DB129E4B-B7D4-484C-9B85-A366DDA0C299} - \AdobeFlashPlayerUpdate 2 No Task File Task: {E3E28708-8485-47A2-8BBD-109F782C6063} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe HKU\S-1-5-21-632503941-784987641-2221626834-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-632503941-784987641-2221626834-1001\...\Run: [Yahoo! Search] => C:\Users\Jakub\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-632503941-784987641-2221626834-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400746170&from=cor&uid=TOSHIBAXMQ01ABD050_Z2EBP4YRTXXZ2EBP4YRT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400746170&from=cor&uid=TOSHIBAXMQ01ABD050_Z2EBP4YRTXXZ2EBP4YRT&q={searchTerms} HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402563856&from=wpm0612&uid=TOSHIBAXMQ01ABD050_Z2EBP4YRTXXZ2EBP4YRT&q={searchTerms} HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-19 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-20 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1417896028 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1417896028 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> {956E33D5-F9E3-41C7-8976-891429F9B936} URL = http://rts.dsrlte.com/?q={searchTerms}&r=862 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130411&user_guid=86697ECB1E2C43E6804F6568A3F69CF6&machine_id=09ea5fdad62f6076ae03a91a4caca32a&browser=IE&os=win&os_version=6.2-x64-SP0&iesrc={referrer:source} BHO-x32: YooutubeeAdBlockeu -> {00f81ea5-d836-409f-b60f-dbf2ea98d48b} -> C:\Program Files (x86)\YooutubeeAdBlockeu\7BdZ9oQlEZNXLu.dll No File BHO-x32: SaveerExttensiionu -> {0aa1da7c-a556-415f-81de-86bd4759e681} -> C:\ProgramData\SaveerExttensiionu\qnb0vQVWC2v1sc.dll No File BHO-x32: Deal Keeper -> {1ec8187a-6435-44e3-bbe4-6ce6d3c69254} -> C:\Program Files (x86)\Deal Keeper\DealKeeperBHO.dll No File BHO-x32: GGoSAvEE -> {69b7de13-dbbf-4f01-a0d0-e78e170f0785} -> C:\ProgramData\GGoSAvEE\d3J1j3rzfHg5Ar.dll No File BHO-x32: SaverExtension -> {7fbbb258-aa77-41e4-abc1-7c322c0539b1} -> C:\ProgramData\SaverExtension\47FtM2b8KBJDZN.dll No File BHO-x32: GGoSave -> {8dc3962e-0cee-4e31-a9d7-cae8a26b8f5b} -> C:\Program Files (x86)\GGoSave\ghatrWl2iCuQDz.dll No File BHO-x32: FIndBEstDeaili -> {fd6cd95c-f512-49f0-81d1-f4ceb7269849} -> C:\ProgramData\FIndBEstDeaili\Zosc8qp3Jjhz5D.dll No File Toolbar: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll No File FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Jakub\AppData\Roaming\Mozilla\Firefox\Profiles\abtftqck.default-1379621071496\extensions\quick_start@gmail.com FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Jakub\AppData\Roaming\Mozilla\Firefox\Profiles\abtftqck.default-1379621071496\extensions\shortcutff@gmail.com C:\Program Files\Enigma Software Group C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Faster Light C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Tor C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8 C:\ProgramData\AVAST Software C:\ProgramData\Spyware Terminator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Terminator 2012 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\Jakub\AppData\Local\CRE C:\Users\Jakub\AppData\Local\Google C:\Users\Jakub\AppData\Roaming\Elex-tech C:\Users\Jakub\AppData\Roaming\ESET C:\Users\Jakub\AppData\Roaming\EurekaLog C:\Users\Jakub\AppData\Roaming\rmi C:\Users\Jakub\AppData\Roaming\Spyware Terminator C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\337Games C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Jakub\Desktop\Nowy folder\Spyware Terminator 2012.lnk C:\Users\Jakub\Downloads\*(*)-dp*.exe C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP C:\Windows\msdownld.tmp C:\Windows\system32\log C:\Windows\System32\drivers\{023ffe30-e38b-4272-b1c0-1e9f6a180b9d}w64.sys C:\Windows\System32\drivers\{146928e7-d9fa-4f71-af0f-f42261fb9843}w64.sys C:\Windows\System32\drivers\{2f76abac-1058-4d18-a9d9-382d3a1b32c3}w64.sys C:\Windows\System32\drivers\{35d31228-a1dd-4d11-a2ff-ef6ba162cebd}w64.sys C:\Windows\System32\drivers\{544deb5f-dfba-4914-8002-1f35ae7182a3}w64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys C:\Windows\System32\drivers\{5637c139-b301-4ecd-a2cf-2ae75f214b07}w64.sys C:\Windows\System32\drivers\{76152aee-de6d-453d-a8d8-6f11a0085df8}w64.sys C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w64.sys C:\Windows\System32\drivers\{871e60bd-7aec-4938-a4b2-ffde58590efe}w64.sys C:\Windows\System32\drivers\{999a4cbb-05c0-4612-9e48-e2b9897a2c6f}w64.sys C:\Windows\System32\drivers\{a5b0d4ec-75a8-4454-a9c1-5675585828ec}w64.sys C:\Windows\System32\drivers\{af7618ea-6d4f-47e5-9e06-5f808487ae22}w64.sys C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64.sys C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys C:\Windows\System32\drivers\{c42edeec-c173-4c88-9a7f-6934088af032}w64.sys C:\Windows\System32\drivers\{c746a0c9-95e3-4ce8-9e9f-58fac8587b02}w64.sys C:\Windows\System32\drivers\{d6c3bca9-e5f7-466a-ab38-ae66db286392}w64.sys C:\Windows\System32\drivers\{f7e972a4-3731-46b4-91a5-4140fc1009e8}w64.sys C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\iSafeKrnlBoot.sys C:\Windows\system32\Drivers\iSafeNetFilter.sys C:\Windows\system32\Drivers\msbsdurm.sys C:\sh4ldr Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SDTray /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /f reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Jakub\AppData\Local CMD: dir /a C:\Users\Jakub\AppData\LocalLow CMD: dir /a C:\Users\Jakub\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz C:\ComboFix.txt. PS. Poprzednie posty skleiłam dla czytelności, ale odpowiadasz mi już w nowym poście.

Tu jeszcze nie koniec operacji i na razie żadnych nowych instalacji. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{90c7f176-1ff4-41cd-b629-0ebc82083006} /f RemoveDirectory: C:\Documents and Settings\ania\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\macio\Pulpit\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.