picasso

Niestety Fix w FRST się nie wykonał. Otwórz Fixlog w Notatniku i porównaj z moim postem co się stało. Problem w tym, że przy przeklejaniu skleiły się wszystkie linie - przypuszczalnie używałeś przeglądarki Internet Explorer (zanotowałam tu na forum niepożądane akcje z przejściem do nowej linii). Powtarzaj zadanie, czyli punkt 1 oraz 4. Do przeklejania ze strony forum do Notatnika użyj Firefox.

Owszem, system jest zanieczyszczony: w systemie ładują się komponenty Bitcoin miner (Math Problem Solver) oraz adware - powinieneś notować wysokie obciążenie CPU. Ale to nie wydaje się w ogóle powiązane z problemem touchpad (prędzej zwraca uwagę oprogramowanie Synaptics). Ponadto, w Dzienniku zdarzeń są jednak adnotacje dotyczące uszkodzenia struktury plików dysku: [ System Events ] Error - 2014-12-03 16:26:29 | Computer Name = JOLCIA | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku. Uruchom narzędzie chkdsk na woluminie C:. Na razie zaadresuj powyższy błąd i wyczyść system ze śmieci: 1. Dostosuj się do zaleceń z powyższego błędu: Start > Uruchom > cmd, wklep komendę chkdsk /f /r, zatwierdź deinstalację woluminu i zresetuj system. 2. Przez Dodaj/Usuń programy odinstaluj: AVG SafeGuard toolbar, Math Problem Solver, McAfee Security Scan Plus, webget, WindowsMangerProtect20.0.0.502. Jeśli dwie ostatnie pozycje nie będą widoczne, nie szkodzi, dokończy je punkt 3. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-1.job => C:\Program Files\Apps Hat\Apps Hat-codedownloader.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-11.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-11.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-2.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-2.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-4.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-4.exe Task: C:\WINDOWS\Tasks\ef9eb1df-f680-4256-a623-cf0a11590988-5.job => C:\Program Files\Apps Hat\ef9eb1df-f680-4256-a623-cf0a11590988-5.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\Math Problem Solver CPU.job => C:\Documents and Settings\Jola\Ustawienia lokalne\Dane aplikacji\Math Problem Solver\cpu\Solve.exe S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-08] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-08] (globalUpdate) [File not signed] S2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe -service [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] CustomCLSID: HKU\S-1-5-21-1123561945-688789844-1177238915-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Jola\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1407519251&from=smt&uid=ST9120822AS_5LZ73PF1XXXX5LZ73PF1&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1407519251&from=smt&uid=ST9120822AS_5LZ73PF1XXXX5LZ73PF1&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1407519251&from=smt&uid=ST9120822AS_5LZ73PF1XXXX5LZ73PF1 SearchScopes: HKU\S-1-5-21-1123561945-688789844-1177238915-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={0A7F35EA-6833-46D8-AE55-8C008304445C}&mid=Unknown&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-10 11:18:03&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} Toolbar: HKU\S-1-5-21-1123561945-688789844-1177238915-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799 FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.9\\npsitesafety.dll No File FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml C:\Documents and Settings\All Users\Dane aplikacji\AVG SafeGuard toolbar C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1114tb C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Jola\Dane aplikacji\AVG SafeGuard toolbar C:\Documents and Settings\Jola\Dane aplikacji\istartsurf C:\Documents and Settings\Jola\Ustawienia lokalne\Dane aplikacji\Math Problem Solver C:\Program Files\AVG Security Toolbar C:\Program Files\globalUpdate Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f CMD: dir /a "C:\Documents and Settings\Jola\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Documents and Settings\Jola\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Jola\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy notujesz jakieś zmiany. ,

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadomo co robił. Zasady działu: KLIK. Czyli: proszę opisać skąd tu koncepcja "rootkita" (co go pokazuje) oraz dostarczyć wszystkie obowiązujące logi (FRST, OTL i GMER). Logi mają być w postaci załączników forum a nie wklejane w poście.

W podanych raportach mało co widać: autoryzacje Sality w zaporze, lekko lecz niecałkowicie naruszony klucz Trybu awaryjnego, drobnostka adware na liście zainstalowanych i szczątkowe foldery po odinstalowanych aplikacjach. Korekty pod tym kątem - otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" S3 ioloService; E:\Program Files\SafePCRepair\ioloToolService.exe [X] S3 MSICDSetup; \??\F:\CDriver.sys [X] E:\Documents and Settings\All Users\Application Data\iolo E:\Documents and Settings\All Users\Application Data\ParetoLogic E:\Documents and Settings\Jesse Pinkman\Application Data\NapiProjekt E:\Documents and Settings\Jesse Pinkman\Application Data\ParetoLogic E:\Documents and Settings\Jesse Pinkman\Local Settings\Application Data\iolo E:\Program Files\Free Window Registry Repair Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mindspark SafePCRepair" /f CMD: netsh firewall reset CMD: dir /a C:\ CMD: dir /a E:\ CMD: dir /a F:\ CMD: dir /a G:\ EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Sality atakuje wszystkie dyski (włącznie z zewnętrznymi), które były obecne podczas infekcji. Tu nie jest wiadome gdzie zostały zmodyfikowane pliki, ani czy ArcaBit + SalityKiller na pewno usunęły wszystkie załążki wirusa. Żadne logi nie są niestety odpowiednie do oceny sprawy. Do weryfikacji stanu rzeczy może służyć tylko i wyłącznie antywirus - każda partycja skanowana z osobna. Jeśli po prowadzonym leczeniu nadal występuje błąd, oznacza to trwałe uszkodzenie i aplikacja musi być przeinstalowana od zera z nowego instalatora. W raportach widzę nadal komponenty tej aplikacji - czy była tu już reinstalacja? Shortcut: E:\Documents and Settings\Jesse Pinkman\Start Menu\Programs\1-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\Euro Truck Simulator 2.lnk -> E:\2-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\bin\win_x86\eurotrucks2.exe (SCS Software) Shortcut: E:\Documents and Settings\Jesse Pinkman\My Documents\Euro Truck Simulator 2\readme.rtf.lnk -> E:\Program Files\Euro Truck Simulator 2\readme.rtf (No File) Shortcut: E:\Documents and Settings\Jesse Pinkman\My Documents\Euro Truck Simulator 2\music\Shortcut to Luxtorpeda.lnk -> F:\Muzyka\Luxtorpeda () Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Shortcut to eurotrucks2.lnk -> E:\2-click run\Euro Truck Simulator 2 v1.5.2.1s with Going East DLC\bin\win_x86\eurotrucks2.exe (SCS Software) Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Copy of Euro Truck Simulator 2\readme.rtf.lnk -> E:\Program Files\Euro Truck Simulator 2\readme.rtf (No File) Shortcut: E:\Documents and Settings\Jesse Pinkman\Desktop\Copy of Euro Truck Simulator 2\music\Shortcut to Luxtorpeda.lnk -> F:\Muzyka\Luxtorpeda () .

Jeśli chodzi o logi, to już zostało wskazane czego się pozbyć. Po deinstalacji adware WindowsMangerProtect20.0.0.722 uruchom Autoruns i w karcie Services sprawdź czy zniknęły te dwie usługi (nie jest pewne czy deinstalacja wszystko usunie): ==================== Services (Whitelisted) ================= R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [694784 2014-08-24] (Cherished Technololgy LIMITED) [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-08-24] (Fuyu LIMITED) [File not signed] Jeśli nie, to je usuń w Autoruns + restart systemu, a potem skasuj powiązane foldery z dysku: C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect PS. C:\Users\Tomasz\Downloads\HWiNFO32(15982)-dp.exe = śmieć "Asystent pobierania" dobrychprogramów. Jeśli już musisz stamtąd pobierać, to używaj Linki bezpośrednie po prawej stronie, a nie Pobierz: KLIK. Zakreślone partie to raczej sugerują, że jest tu problem z oprogramowaniem a nie dyskiem. Tylko określone rozszerzenia + PPM na plik i długie oczekiwanie to zwykle jest problem integracji w powłoce Windows Explorer (m.in. kodeki, ale inne oprogramowanie multimedialne oraz zabezpieczające też nie jest wykluczone). Mówisz, że robiłeś format, tylko czy po formacie nie instalowałeś aby dokładnie tych samych aplikacji (z grupy multimediów ale nie tylko oczywiste kodeki oraz antywirusa)? W podanych tu raportach widać conajmniej kilka aplikacji multimedialnych. Jeśli po w/w deinstalacjach nie będzie zmian, podaj raporty z narzędzi które skanują rozszerzenia powłoki i częściowo kodeki: Autoruns (log zapisz w formacie TXT) oraz ShellExView x64 (CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT). Temat prawdopodobnie zostanie przeniesiony do działu Windows. .

Poproszę o log z Kaspersky TDSSKiller. Wszystkie ewentualne wykrycia ustaw na razie na Skip i dostarcz do oceny wynikowy log.

Zestaw wymaganych raportów umożliwiających analizę podany w zasadach działu: KLIK.

Na razie był wstęp, system nadal jest zaśmiecony adware. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [704112 2014-05-08] (Cherished Technololgy LIMITED) S2 ServUpdater; C:\Users\Agnese\AppData\Local\ServUpdater\ServiceUpd.exe [156160 2011-12-16] (ServiceUpd) [File not signed] S2 SoftwareUpd; C:\Users\Agnese\AppData\Local\SoftwareUpdater\SoftwareUpdService.exe [161280 2012-04-23] (SoftwareUpdService) [File not signed] R2 WindowsProtectManger; C:\ProgramData\WindowsProtectManger\wprotectmanager.exe [591776 2014-06-11] (Fuyu LIMITED) S2 Web Assistant Updater; C:\Program Files\Web Assistant\ExtensionUpdaterService.exe [X] U4 eabfiltr; No ImagePath S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 XDva389; \??\C:\Windows\system32\XDva389.sys [X] S3 XDva390; \??\C:\Windows\system32\XDva390.sys [X] S3 XDva391; \??\C:\Windows\system32\XDva391.sys [X] S3 XDva392; \??\C:\Windows\system32\XDva392.sys [X] S3 XDva393; \??\C:\Windows\system32\XDva393.sys [X] S3 XDva396; \??\C:\Windows\system32\XDva396.sys [X] S3 XDva397; \??\C:\Windows\system32\XDva397.sys [X] S3 XDva398; \??\C:\Windows\system32\XDva398.sys [X] S3 XDva399; \??\C:\Windows\system32\XDva399.sys [X] HKLM\...\Run: [Raildcall] => C:\Program Files\raidcall\raidcall.exe HKU\S-1-5-21-3345188048-2503292345-2761132505-1000\...\Run: [PoService] => [X] HKU\S-1-5-21-3345188048-2503292345-2761132505-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3345188048-2503292345-2761132505-1000\...\MountPoints2: {98589ab1-4daf-11e2-8615-00218600ddd9} - E:\Install.exe AppInit_DLLs: c:\progra~1\suptab\search~1.dll => c:\progra~1\suptab\search~1.dll File Not Found AppInit_DLLs: c:\progra~2\fastan~1\fastan~1.dll => c:\progra~2\fastan~1\fastan~1.dll File Not Found IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe Startup: C:\Users\Agnese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VDownloader.lnk HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Agnese\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 ShortcutWithArgument: C:\Users\Agnese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 ShortcutWithArgument: C:\Users\Agnese\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 ShortcutWithArgument: C:\Users\Agnese\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 ShortcutWithArgument: C:\Users\Agnese\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=sc&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 ProxyServer: [s-1-5-21-3345188048-2503292345-2761132505-1000] => 127.0.0.1:3128 HKU\S-1-5-21-3345188048-2503292345-2761132505-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=hp&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 HKU\S-1-5-21-3345188048-2503292345-2761132505-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=hp&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401695965&from=sof&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=hp&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=hp&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401695965&from=sof&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&q={searchTerms} URLSearchHook: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 - (No Name) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1401695965&from=sof&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=ds&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247&type=default&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=ds&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247&type=default&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=169&itype=n&ver=12791&tm=366&src=ds&p={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} URL = http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157 SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=ds&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> URL http://www.trovigo.com/Results.aspx?gd=&ctid=CT3319434&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=5&UP=SP00BD660C-9943-41C6-B501-F505211C4974&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> SuggestionsURL_JSON http://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=14c6f9300000000000000021001d7d94 SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0613&utm_campaign=installer&utm_content=ds&from=wpm0613&uid=WDCXWD2500BEVS-22UST0_WD-WXCZ0733818738187&ts=1402603247&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://isearch.avg.com/search?cid={02A8832A-EE1C-410D-81BA-5FDAD58BC8E2}&mid=e2592f55c8cd47d08a0dd168c0e4342a-966b0eeb361f725dfd5dac6960d91786b40c212e&lang=en&ds=pp011&pr=sa&d=2012-07-26 02:13:58&v=12.1.0.21&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} URL = SearchScopes: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = BHO: Wincore Mediabar -> {28387537-e3f9-4ed7-860c-11e69af4a8a0} -> C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll No File BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll No File BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: Wincore Mediabar -> {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -> C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll () BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKLM - Wincore Mediabar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll No File Toolbar: HKLM - Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll () FF Plugin: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.7\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKU\S-1-5-21-3345188048-2503292345-2761132505-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\default-search.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\delta-homes.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\whitesmoke.xml CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> "C:\Users\Agnese\AppData\Local\Google\Update\GoogleUpdate.exe" No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.57\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.69\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> "C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\GoogleUpdateOnDemand.exe" No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> "C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\GoogleUpdateOnDemand.exe" No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.23.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> "C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\GoogleUpdateOnDemand.exe" No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{5C65F4B0-3651-4514-B207-D10CB699B14B}\localserver32 -> "C:\Users\Agnese\AppData\Local\Google\Chrome\Application\35.0.1916.153\delegate_execute.exe" No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.149\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.65\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> "C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\GoogleUpdateOnDemand.exe" No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.22.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File CustomCLSID: HKU\S-1-5-21-3345188048-2503292345-2761132505-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Agnese\AppData\Local\Google\Update\1.3.24.7\psuser.dll No File Task: {6202BF14-964F-4964-886C-5337E64CC556} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe Task: {87C18EC2-0150-4CC7-B6FD-7BA2920D095B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe C:\found.007 C:\Program Files\AppPitooU C:\Program Files\BearShare Applications C:\Program Files\Google\Chrome C:\Program Files\siaver Box C:\Program Files\SupTab C:\ProgramData\752a75c16f1088e3 C:\ProgramData\AppPitooU C:\ProgramData\IePluginServices C:\ProgramData\siaver Box C:\ProgramData\WindowsProtectManger C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall C:\Users\Agnese\AppData\Local\CRE C:\Users\Agnese\AppData\Local\Google\Chrome C:\Users\Agnese\AppData\Local\PosService C:\Users\Agnese\AppData\Local\ServUpdater C:\Users\Agnese\AppData\Local\SoftwareUpdater C:\Users\Agnese\AppData\Roaming\337Games C:\Users\Agnese\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Amico.lnk C:\Users\Agnese\AppData\Roaming\Microsoft\Windows\Start Menu\RaidCall6.0_beta.lnk C:\Users\Agnese\Documents\Youcam C:\Users\Agnese\Downloads\Setup*.exe C:\Users\Agnese\Desktop\Desktop\337 GAMES.lnk C:\Users\Agnese\Desktop\Desktop\Google Chrome.lnk C:\Users\Agnese\Desktop\Desktop\Video Player.lnk C:\Users\Agnese\Desktop\Desktop\wakacje1\dondddddddddd.lnk C:\Users\Agnese\Desktop\Desktop\wakacje1\Guida Alice.lnk C:\Users\Agnese\Desktop\Desktop\wakacje1\Bit Che C:\Users\Agnese\Desktop\Desktop\idalia compleanno\ida comp Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{64af91bf} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /f CMD: for /d %f in (C:\Users\Agnese\AppData\Local\{*}) do rd /s /q "%f" CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Agnese\AppData\Local CMD: dir /a C:\Users\Agnese\AppData\LocalLow CMD: dir /a C:\Users\Agnese\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox (reinstalacja nie jest konieczna): menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Google Update Helper > Dalej. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

To było wstępne usuwanie adware, niektóre obiekty adware nadal są aktywne. Wyłącz AVG na czas operacji: 1. Ponów próbę deinstalacji: - Przez Panel sterowania: Browsers Apps, Shopping Helper Smartbar. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis LPT System Updater Service > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [mbot_de_241] => [X] HKU\S-1-5-21-2101704784-470427644-3715861599-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC7A,,&q={searchTerms} HKU\S-1-5-21-2101704784-470427644-3715861599-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC7A,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2101704784-470427644-3715861599-1001 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC7A,,&q={searchTerms} BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File C:\Program Files (x86)\57ab390e-e982-4bd7-86fa-9a065fb4dbbe C:\ProgramData\AVG Security Toolbar C:\Program Files (x86)\CinPlus-2.4cV19.11 C:\Program Files (x86)\LPT C:\Program Files (x86)\predm C:\Program Files (x86)\Temp C:\Program Files (x86)\ver7VeriBrowse C:\Users\Andrrzej Szachta\AppData\Local\LPT C:\Users\Andrrzej Szachta\AppData\Local\Smartbar C:\Users\Andrrzej Szachta\AppData\Roaming\trustedshopper CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\Andrrzej Szachta\AppData\Local" CMD: dir /a "C:\Users\Andrrzej Szachta\AppData\LocalLow" CMD: dir /a "C:\Users\Andrrzej Szachta\AppData\Roaming" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Ten błąd FRST występuje, gdy do pliku Fixlist zostanie wklejona nie ta treść co należy, tzn. log FRST wykonany wcześniej opcją skan, a nie skrypt naprawczy. Co wkleiłeś do Notatnika? Proszę zaprezentuj zawartość pliku Fixlist.txt, który próbujesz uruchamiać.

Zacznij od zasad działu i dostarcz obowiązkowe logi: KLIK. Poza tym, dostarcz też log ze skanera, który usuwał infekcje, pokazujący co konkretnie i skąd było usuwane. EDIT: Ale przecież dołączony log FRST jest niekompletny - brak plików Adddition i Shortcut. Wróć do instrukcji robienia raportów i uzupełnij braki.

Kończymy, znajome kroki: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Aktualizacja Java oraz kompleksowa aktualizacja systemu z Windows Update. Stan obecny: Platform: Microsoft Windows 7 Home Premium (X86) OS Language: Polski (Polska) Internet Explorer Version 9 ==================== Installed Programs ====================== Java 7 Update 67 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217067FF}) (Version: 7.0.670 - Oracle)

Fix wykonany, martwy wpis Ask usunięty. Jeśli chodzi o AdwCleaner, to są tu fałszywe alarmy i trzeba wykluczyć kilka pozycji: - Wybierz opcję Szukaj. Następnie w karcie Files odznacz plik srvany.exe (crack Office, plik jest podwiązany do usługi KMService, usunięcie pozostawi martwą usługę). W kartach Chrome + Registry odznacz obiekt lifbcibllhkdhoafpjfnlhfpfgnpldfl (to rozszerzenie Skype Click to Call). W karcie Registry odznacz klucz {6DDA37BA-0553-499A-AE0D-BEBA67204548} (Xiph.Org Native FLAC Decoder) - Dopiero po tym Usuń i przedstaw wynikowy log AdwCleanerS0.txt. E nie, nie wystąpiłam tu z żadnymi pretensjami, tylko próbuję wyjaśnić, że przeglądarka wygląda zupełnie inaczej niż poprzednio. To brakujące rozszerzenie mogło zostać automatycznie zredukowane przez Google. Zaś reset przeglądarki przebudowuje preferencje od zera, więc inny zestaw rozszerzeń jest również wyjaśniony, ale odświeżenie skrótu LNK już mi do tego nie pasuje, stąd pytanie. .

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-19] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-11-19] (globalUpdate) [File not signed] S2 LPTSystemUpdater; C:\Program Files (x86)\LPT\srpts.exe [32800 2014-11-02] () S2 wpsvc_1.10.0.2; C:\Program Files (x86)\WordProser_1.10.0.2\Service\wpsvc.exe [277584 2014-11-04] (Word Proser) S2 webinstrT; C:\WINDOWS\system32\Drivers\webinstrT.sys [63696 2014-11-19] (Corsica) R1 wpnfd_1_10_0_2; C:\Windows\System32\drivers\wpnfd_1_10_0_2.sys [58240 2014-11-04] (Word Proser) S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] Task: {05D5EC86-434F-4139-880E-A4488A411024} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5_user => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5.exe [2014-11-19] (CinPlusV19.11) Task: {1197016B-46D6-4843-BF61-913A7D0D69B5} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-6 => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-6.exe [2014-11-19] (CinPlusV19.11) Task: {1E310176-BCB1-4557-9985-B6BEA43B2E82} - System32\Tasks\QEDYQJMM => C:\Users\Andrrzej Szachta\AppData\Roaming\QEDYQJMM.exe Task: {1F63FBEE-448C-4F83-A6D6-5AA570C756DC} - System32\Tasks\VKZRD => C:\Users\Andrrzej Szachta\AppData\Roaming\VKZRD.exe Task: {3F697E01-AE2E-4B86-942C-D17EF56DE102} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-11-19] (globalUpdate) Task: {3F6A0027-37BA-4EDE-A124-00C37BBEF9E3} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-11 => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-11.exe Task: {47C5618E-9D8F-47CF-B8C2-BDE9FE32BEAE} - System32\Tasks\ed97fe52-20d5-4263-a231-ccd5ca6f83aa => C:\Program Files (x86)\CinPlus-2.4cV19.11\ed97fe52-20d5-4263-a231-ccd5ca6f83aa.exe [2014-11-19] (CinPlusV19.11) Task: {4FB4ED19-264E-468A-9FB6-A7ADC6F4BCC8} - System32\Tasks\575b099a-cfe6-44dd-a987-55f1a33b68ef => C:\Program Files (x86)\Browsers Apps\575b099a-cfe6-44dd-a987-55f1a33b68ef.exe [2014-08-01] () Task: {88773724-3DF9-40B1-BCA8-21DB520F1B1E} - System32\Tasks\VeriBrowse Update => C:\Program Files (x86)\ver7VeriBrowse\o4VeriBrowseZ61.exe [2014-11-19] () Task: {90908FBB-36B1-4235-8C92-146BA47C7124} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-1 => C:\Program Files (x86)\CinPlus-2.4cV19.11\CinPlus-2.4cV19.11-codedownloader.exe Task: {B43D73FC-46BE-4263-BC1C-7FA6B364EA60} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5 => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5.exe [2014-11-19] (CinPlusV19.11) Task: {BA74CF78-A665-453F-9D4D-5381CEF57EC6} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-2 => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-2.exe Task: {D4409097-46BC-47AE-8638-E96B60307B54} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-3 => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-3.exe Task: {DC770B38-3935-46DA-87E5-85F189E275E4} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-4 => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-4.exe Task: {EE1A02F6-26FF-423C-A1BF-41781250340C} - System32\Tasks\66cf2788-31d0-47a5-a3ef-f2c9d1c969c9 => C:\Program Files (x86)\CinPlus-2.4cV19.11\66cf2788-31d0-47a5-a3ef-f2c9d1c969c9.exe [2014-11-19] () Task: {FAB83138-8B46-437B-B754-D5E1A7E43B8E} - System32\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-7 => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-7.exe Task: C:\WINDOWS\Tasks\575b099a-cfe6-44dd-a987-55f1a33b68ef.job => C:\Program Files (x86)\Browsers Apps\575b099a-cfe6-44dd-a987-55f1a33b68ef.exe Task: C:\WINDOWS\Tasks\66cf2788-31d0-47a5-a3ef-f2c9d1c969c9.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\66cf2788-31d0-47a5-a3ef-f2c9d1c969c9.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-1.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\CinPlus-2.4cV19.11-codedownloader.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-11.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-11.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-2.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-2.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-3.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-3.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-4.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-4.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5_user.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-5.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-6.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-6.exe Task: C:\WINDOWS\Tasks\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-7.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\a438dbb6-0d37-422e-8e57-4e522a5ddd7b-7.exe Task: C:\WINDOWS\Tasks\ed97fe52-20d5-4263-a231-ccd5ca6f83aa.job => C:\Program Files (x86)\CinPlus-2.4cV19.11\ed97fe52-20d5-4263-a231-ccd5ca6f83aa.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\QEDYQJMM.job => C:\Users\Andrrzej Szachta\AppData\Roaming\QEDYQJMM.exe Task: C:\WINDOWS\Tasks\VeriBrowse Update.job => C:\Program Files (x86)\ver7VeriBrowse\o4VeriBrowseZ61.exe Task: C:\WINDOWS\Tasks\VKZRD.job => C:\Users\Andrrzej Szachta\AppData\Roaming\VKZRD.exe AppInit_DLLs: C:\Users\Andrrzej Szachta\AppData\Local\Smartbar\Application\Resources\crdlil64.dll => C:\Users\Andrrzej Szachta\AppData\Local\Smartbar\Application\Resources\crdlil64.dll [71680 2014-11-22] () HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [mbot_de_241] => C:\Program Files (x86)\mbot_de_241\mbot_de_241.exe [3977672 2014-11-05] () HKLM-x32\...\RunOnce: [upmbot_de_241.exe] => C:\Users\Andrrzej Szachta\AppData\Local\mbot_de_241\upmbot_de_241.exe [3306952 2014-11-05] () HKU\S-1-5-21-2101704784-470427644-3715861599-1001\...\Run: [inetStat] => C:\Users\Andrrzej Szachta\AppData\Roaming\InetStat\inetstat.exe [702478 2014-11-19] () HKU\S-1-5-21-2101704784-470427644-3715861599-1001\...\Run: [updateChecker] => C:\Users\Andrrzej Szachta\AppData\Local\UpdateChecker\UpdateCheckerApp.exe [7168 2014-02-16] () HKU\S-1-5-21-2101704784-470427644-3715861599-1001\...\Run: [browser Infrastructure Helper] => C:\Users\Andrrzej Szachta\AppData\Local\Smartbar\Application\Smartbar.exe [28192 2014-11-02] (Smartbar) HKU\S-1-5-21-2101704784-470427644-3715861599-1001\...\MountPoints2: {56917986-158b-11e4-bef7-a4db30ca0d03} - "G:\PMCsetup.exe" HKLM\...\Policies\Explorer: [NoControlPanel] 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-2101704784-470427644-3715861599-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2101704784-470427644-3715861599-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC6Q,,&q={searchTerms} HKU\S-1-5-21-2101704784-470427644-3715861599-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjLQX0SpfRh3s_mQjp5QaT-C1CFSs9fre-02XEbCBL8AulLBK2e_Kag8maWKT89MQ,, HKU\S-1-5-21-2101704784-470427644-3715861599-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC6Q,,&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1403293951&from=cor&uid=ST500LT012-9WS142_W0VGPJVXXXXXW0VGPJVX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1403293951&from=cor&uid=ST500LT012-9WS142_W0VGPJVXXXXXW0VGPJVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1403293951&from=cor&uid=ST500LT012-9WS142_W0VGPJVXXXXXW0VGPJVX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1403293951&from=cor&uid=ST500LT012-9WS142_W0VGPJVXXXXXW0VGPJVX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC6Q,,&q={searchTerms} SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC6Q,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2101704784-470427644-3715861599-1001 -> DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC6Q,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2101704784-470427644-3715861599-1001 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_Xmyr4DsGS5n78vMqPWzn-RsCeYwEM8DpnBd6hrxS2YOIgmRzcdpj1iUc5EURTLKx8LXXnD75A8JTL-LiHaPR_yuEjjH9naa_xhPx_CkYtU4chQTwDAX1LX_lEN6MbuU5EYxOF_aqyOAxArGEIU3mPPC6Q,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2101704784-470427644-3715861599-1001 -> {0CEC4E0A-503A-4AB6-B4B1-182894B25AE9} URL = SearchScopes: HKU\S-1-5-21-2101704784-470427644-3715861599-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={EBECDCFC-7986-4870-8652-6E7B51532E23}&mid=0db57432152147d29d437592762ee4f0-cb48b6ebb80d916311c2809980b8dc0f23c45ae0&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-17 20:55:29&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: Browsers Apps -> {11111111-1111-1111-1111-110611171187} -> C:\Program Files (x86)\Browsers Apps\Browsers Apps-bho64.dll (app) BHO: CinPlus-2.4cV19.11 -> {11111111-1111-1111-1111-110611381131} -> C:\Program Files (x86)\CinPlus-2.4cV19.11\CinPlus-2.4cV19.11-bho64.dll (CinPlusV19.11) BHO: Shopping Helper SmartbarEngine -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) BHO: WordProser -> {3EBB5099-9732-48AE-B032-58B702D86EEC} -> C:\Program Files\WordProser_1.10.0.2\IE\WordProserClientIE.dll (Word Proser)\ BHO: VeriBrowse -> {9FA3BE38-6695-25BE-DC95-8E4C027593D9} -> C:\Program Files (x86)\ver7VeriBrowse\183_x64.dll () BHO: TrustedShopper -> {BBE09607-D9BF-4B2E-88C2-C8D5DF7A7D37} -> C:\Program Files (x86)\SqueakyChocolate\TrustedShopper\adxloader64.dll () BHO-x32: Browsers Apps -> {11111111-1111-1111-1111-110611171187} -> C:\Program Files (x86)\Browsers Apps\Browsers Apps-bho.dll No File BHO-x32: CinPlus-2.4cV19.11 -> {11111111-1111-1111-1111-110611381131} -> C:\Program Files (x86)\CinPlus-2.4cV19.11\CinPlus-2.4cV19.11-bho.dll (CinPlusV19.11) BHO-x32: Shopping Helper SmartbarEngine -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> C:\WINDOWS\SysWOW64\mscoree.dll (Microsoft Corporation) BHO-x32: WordProser -> {3EBB5099-9732-48AE-B032-58B702D86EEC} -> C:\Program Files (x86)\WordProser_1.10.0.2\IE\WordProserClientIE.dll (Word Proser) BHO-x32: VeriBrowse -> {9FA3BE38-6695-25BE-DC95-8E4C027593D9} -> C:\Program Files (x86)\ver7VeriBrowse\183.dll () BHO-x32: TrustedShopper -> {BBE09607-D9BF-4B2E-88C2-C8D5DF7A7D37} -> C:\Program Files (x86)\SqueakyChocolate\TrustedShopper\adxloader.dll () Toolbar: HKLM - Shopping Helper Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - Shopping Helper Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\WINDOWS\SysWOW64\mscoree.dll (Microsoft Corporation) CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\Andrrzej Szachta\AppData\Local\Temp\twsfiles\trustedshopper.crx [2014-02-25] C:\browserhelper.log C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\mozilla firefox C:\Program Files (x86)\Temp C:\ProgramData\374311380 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\InetStat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\Users\Andrrzej Szachta\AppData\Local\globalUpdate C:\Users\Andrrzej Szachta\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Andrrzej Szachta\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Andrrzej Szachta\AppData\Roaming\*.exe C:\Users\Andrrzej Szachta\AppData\Roaming\Mozilla C:\Users\Andrrzej Szachta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\InetStat C:\Users\Andrrzej Szachta\AppData\Roaming\sweet-page C:\Users\Andrrzej Szachta\AppData\Roaming\Systweak C:\Users\Andrrzej Szachta\Documents\Optimizer Pro C:\Users\Andrrzej Szachta\Downloads\ReimageRepair.exe C:\Users\Andrrzej Szachta\Downloads\setup.exe C:\Windows\patsearch.bin C:\Windows\system32\Drivers\webinstrT.sys C:\Windows\System32\drivers\wpnfd_1_10_0_2.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: sc config vToolbarUpdater18.1.10 start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie uruchomić system w trybie normalnym. Jeśli tak, to wykonaj poprawnie deinstalacje poprzez Panel sterowania: - Adware: Browsers Apps, CinPlus-2.4cV19.11, InetStat, LPT System Updater Service, MyBestOffersToday 014.241, Shopping Helper Smartbar, Shopping Helper Smartbar Engine, TrustedShopper, UpdateChecker, VeriBrowse, WindowsProtectManger20.0.0.401, Word Proser 1.10.0.2 - Dodatkowo możesz się pozbyć zbędnych aplikacji: AVG Web TuneUp, eBay Worldwide. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AVG Secure Search, Browsers Apps, CinPlus-2.4cV19.11, TrustedShopper (o ile nadal będą widoczne po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Możesz skasować plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Opcje Widoku przełącza skan OTL, co ma niby być pomocą dla pomagających i użytkowników, by były widoczne wszystkie elementy. Akcje wykonane, ale czynny "Internet Speed Checker" znów zanieczyścił Firefox - uprzednio brak deinstalatora, obecnie się już odtworzył. Poprawki: 1. Odinstaluj Internet Speed Checker. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\user\AppData\Local\Akamai\netsession_win.exe" BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Task: {260ED05A-3D33-46A5-B013-E57D7C6D55ED} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-5 => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-5.exe [2014-12-05] (Speedchecker) Task: {331A21C8-E0AA-4ED5-9689-EEFF6C61B8FF} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-1 => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe [2014-12-05] (Speedchecker) Task: {373ACED5-9C37-4988-B70B-EB1B1C37B537} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-5_user => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-5.exe [2014-12-05] (Speedchecker) Task: {474BF617-FD74-491B-A6FF-C5852BA0A991} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-05] (globalUpdate) Task: {54E8A2CA-3B64-4388-8C03-28DA9BC9AF57} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-4 => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-4.exe [2014-12-05] (Speedchecker) Task: {576AB782-98E9-4040-9906-7AAE2EE08504} - System32\Tasks\0814avUpdateInfo => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe [2014-08-12] () Task: {58A5E28C-72BF-42A1-8456-7437AD5EC265} - System32\Tasks\9f15ac11-54eb-403e-a220-9c40345f22a7 => C:\Program Files (x86)\Internet Speed Checker\9f15ac11-54eb-403e-a220-9c40345f22a7.exe [2014-12-05] (Speedchecker) Task: {677432A0-E7F3-4216-A586-76971CCF7E21} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-12-05] (globalUpdate) Task: {9941903F-EEC9-4BDF-A4E2-30C210EAD7D5} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-11 => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-11.exe [2014-12-05] (Speedchecker) Task: {A5F63608-1CDE-4096-9F29-43456A914874} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-2 => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-2.exe [2014-12-05] (Speedchecker) Task: {D880231B-47BF-42B8-92D2-68647282D7DF} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-6 => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-6.exe [2014-12-05] (Speedchecker) Task: {EAEE81A4-20C0-4AAE-A8F9-3E4A5BF72A9D} - System32\Tasks\c63fd9cb-b22a-456c-bec0-98f3f3f04622 => C:\Program Files (x86)\Internet Speed Checker\c63fd9cb-b22a-456c-bec0-98f3f3f04622.exe [2014-12-05] () Task: {EB34AC41-449B-43F5-9907-103497B637FE} - System32\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-7 => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-7.exe [2014-12-05] (Speedchecker) Task: C:\Windows\Tasks\0814avUpdateInfo.job => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\9f15ac11-54eb-403e-a220-9c40345f22a7.job => C:\Program Files (x86)\Internet Speed Checker\9f15ac11-54eb-403e-a220-9c40345f22a7.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-1.job => C:\Program Files (x86)\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-11.job => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-11.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-2.job => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-2.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-4.job => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-4.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-5.job => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-5.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-5_user.job => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-5.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-6.job => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-6.exe Task: C:\Windows\Tasks\adf9ec37-1363-4db4-8a24-aa0164210f70-7.job => C:\Program Files (x86)\Internet Speed Checker\adf9ec37-1363-4db4-8a24-aa0164210f70-7.exe Task: C:\Windows\Tasks\c63fd9cb-b22a-456c-bec0-98f3f3f04622.job => C:\Program Files (x86)\Internet Speed Checker\c63fd9cb-b22a-456c-bec0-98f3f3f04622.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-05] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-05] (globalUpdate) [File not signed] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Program Files (x86)\AVG Web TuneUp C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Internet Speed Checker C:\ProgramData\AVG Security Toolbar C:\Users\user\AppData\Local\globalUpdate EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Ponownie w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Coś nadal podejrzanie dużo "not found" od programów zainstalowanych. Wstępnie więc doczyszczę tylko te pozycje, które zadałam do deinstalacji, i dodatkowo zweryfikuję czy zedytowałeś Zmienne poprawnie. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [slick Savings] => "C:\Users\Dominika\AppData\Roaming\Slick Savings\CouponsHelper.exe" HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [browser Extensions] => "C:\Users\Dominika\AppData\Roaming\Slick Savings\CouponsHelper.exe" BHO: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\Dominika\AppData\Roaming\Slick Savings\Coupons64.dll No File BHO-x32: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\Dominika\AppData\Roaming\Slick Savings\Coupons.dll No File BHO-x32: Advanced SystemCare Browser Protection -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File S4 sptd; System32\Drivers\sptd.sys [X] CMD: SET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. Jeśli chodzi o zablokowany wpis, do Notatnika wklej: Unlock: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Jeśli chodzi o błędy sterownika ekranu, przymierzaj się do aktualizacji. Potrzebny model posiadanej karty graficznej, następnie wchodzisz na stronę AMD i szukasz czy dla tego modelu jest nowsza aktualizacja. .

Są widoczne tylko drobne odpadki adware. I zdaje się, że używałeś już AdwCleaner, tylko usunąłeś niestety raporty z dysku, więc nie można zweryfikować co narzędzie robiło. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.us.com/?guid={2CD3B27F-B925-4194-A8C7-ACE1D2832E5E} HKU\S-1-5-21-1163469901-3333247925-1792307710-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.us.com/?guid={2CD3B27F-B925-4194-A8C7-ACE1D2832E5E} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> DefaultScope {276109A3-C45B-490B-A964-1CB55042184A} URL = http://search.us.com/serp?guid={F708E7BC-7579-46BD-B69A-C09D766FBFF5}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> {276109A3-C45B-490B-A964-1CB55042184A} URL = http://search.us.com/serp?guid={F708E7BC-7579-46BD-B69A-C09D766FBFF5}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> {8AC95EAC-EDE7-4C62-A5ED-840DA604DDE7} URL = http://search.us.com/serp?guid={2CD3B27F-B925-4194-A8C7-ACE1D2832E5E}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> {8FC273F1-4993-442E-969B-343336AB05B3} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10511 Task: {7EB57724-7EB4-4E08-BAB3-6A563BBD63FA} - System32\Tasks\{69C94FE8-C78F-43E1-B8BF-97655ED92F75} => D:\Reinstall\Microsoft Office Standard 2010 PL\Microsoft Excel 2010.exe Task: {833FAC63-9530-4BA0-869B-9F1116FA1CDA} - System32\Tasks\{1CD05D51-42ED-449A-B0A0-0898351DBFD9} => D:\Reinstall\Microsoft Office Standard 2010 PL\Microsoft Excel 2010.exe Task: {EA4F96A6-D67E-409C-9ECC-B8C6363CE228} - System32\Tasks\{5AF67240-1C9A-47BF-BD0C-CC4CDCAEF3E1} => D:\Reinstall\Microsoft Office Standard 2010 PL\Microsoft Excel 2010.exe C:\Users\UpdatusUser\Desktop\SpeedFan.lnk Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W tle są uruchomione niepożądane programy adware. Ponadto, przeglądarka Google Chrome jest typu development a nie stabilna, co przy obecności adware w systemie wskazuje na konwersję przeglądarki przez adware, a nie celową instalację użytkownika. 1. Rozpocznij od deinstalacji via Panel sterowania: - Adware: Foxy Secure, Internet Speed Checker, PDF Creator Packages, PennyBee, PennyBeeUpdate oraz nieszczęsne Google Chrome. Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki. - Stare wersje: Adobe Reader 9.5.5 Na razie nie instaluj w ogóle nowej wersji Google Chrome, to dopiero po wyczyszczeniu systemu. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

Na początek uwaga na temat świeżo pobranych plików: C:\Users\Magda\Downloads\Digital-Image-Recovery(11446)-dp.exe- To nie jest poprawny instalator tylko "Asystent pobierania" dobrychprogramów, którego jedyny cel to instalacja adware: KLIK. C:\Users\Magda\Downloads\yet_another_cleaner_sk_50537.exe - YAC (Yet Another Cleaner) to niepożądany program, z daleka od niego! Czy karta pamięci była formatowana? To może być nadal źródło infekcji. O ile to możliwe, proszę dostarcz raporty z antywirusa gdzie konkretnie został wykryty Brontok. A wg logów ogólnych Brontok tu owszem grasował, zostały po nim jednak tylko szczątkowe wpisy rejestru. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-378606110-1790107904-230257270-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\Magda\AppData\Local\smss.exe" HKU\S-1-5-21-378606110-1790107904-230257270-1000\...\Policies\system: [DisableCMD] 0 CHR HKU\S-1-5-21-378606110-1790107904-230257270-1000\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll No File BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File R1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X] Task: {0F1A9848-B09F-43F6-8BDB-FC4E19DF818F} - System32\Tasks\{949B7055-97A4-4D81-8C05-410DA9553BF9} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {1A8FACDD-9AC9-4007-AE11-1A181480DB36} - System32\Tasks\{903F5232-358A-4583-9C13-3C94D5792E89} => Chrome.exe http://ui.skype.com/ui/0/6.10.0.104/pl/abandoninstall?page=tsProgressBar Task: {2151F4DA-8178-46C9-9ED6-E68C7796A319} - System32\Tasks\{BD8484D3-9BED-4E30-9216-F545443980D0} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?page=tsProgressBar Task: {39E7ECF7-7446-4439-8385-7ACCCE619CFB} - System32\Tasks\{38B8B6E1-D388-4125-B620-C3470AAD8C40} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar Task: {414CE146-B9AD-459B-9E96-DA0055F2219F} - System32\Tasks\{FD5807A7-AFB4-4C38-8FC9-AC5A5FF92A91} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?page=tsProgressBar Task: {6E2A3144-8B33-4FF3-9037-45FD2DC263C9} - System32\Tasks\{F1B3F2CC-FC93-4B35-9716-561CABF9B64E} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {70B4DF73-74C1-44E0-B768-557D983A2FDF} - System32\Tasks\{2089147D-B5ED-46D7-94BC-1D7996A8448B} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar Task: {D6E38882-1C2A-4115-9662-FC9A068E65CF} - System32\Tasks\{D341B76C-8832-442B-8495-F4FACB269BE2} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {EE045661-885F-4A71-9BB4-B20B95F93E60} - System32\Tasks\{42A80756-A930-4122-B7DF-A1F9DEAED3CC} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar C:\Users\Magda\Downloads\*(*)-dp*.exe C:\Users\Magda\Downloads\yet_another_cleaner_*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

"StartSearch Video plug-in" zniknął z Google Chrome - w nowym logu zupełnie inny układ rozszerzeń, odświeżony jest też skrót przeglądarki - czyżby była kompletna reinstalacja? A ten niewidoczny wpis updatera Ask to możliwe, że to totalny szczątek nie wykazujący już cech "instalacyjnych". Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKU\S-1-5-21-1215798757-1829326793-2782969332-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f RemoveDirectory: C:\Users\Halina\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz log z folderu C:\AdwCleaner.

Post niezgodny z zasadami usuwam. Tamte instrukcje zresztą nie adresowały meritum, które jest prawdopodobnie związane z BSOD, czyli sterowników adware: S2 webinstrT; C:\WINDOWS\system32\Drivers\webinstrT.sys [63696 2014-11-19] (Corsica) R1 wpnfd_1_10_0_2; C:\Windows\System32\drivers\wpnfd_1_10_0_2.sys [58240 2014-11-04] (Word Proser) Ani poprawnych deinstalacji programów adware. Zanim podam nowe instrukcje proszę o aktualizację FRST i zrobienie nowych logów. Są tu podane raporty ze starszej wersji FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-11-2014 Najnowsza jest z grudnia.

Problemem nie jest zainfekowany system tylko router. Pierwszy adres jest szkodliwy: KLIK Tcpip\Parameters: [DhcpNameServer] 94.249.192.82 8.8.8.8 Na nic tu więc skanery i narzędzia uruchamiane spod Windows. Używałeś m.in. wątpliwy program SpyHunter (z daleka od niego) oraz ComboFix: KLIK. Przeprowadź następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, ASUS WebStorage, Java 7 Update 6, Java™ 6 Update 34 - W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wtręt sponsoringowy Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\rewrewr\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2010112955-1264138697-2364430108-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2010112955-1264138697-2364430108-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-2010112955-1264138697-2364430108-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Norton CMD: ipconfig /flushdns CMD: for /d %f in (C:\Users\Bożena\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amsp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Było tu malware wykonujące intercepcję schowka i/lub innych funkcji, toteż zabezpieczenie tego terenu przy udziale aplikacji specjalizowanych w keyloggerach np. KeyScrambler (dostępna wersja darmowa Personal), SpyShelter (dostępna wersja darmowa Free), Zemana Antilogger (dostępna wersja darmowa Free).