Skocz do zawartości
Nadchodzące zmiany w logowaniu

picasso

Administratorzy
 Pokaż profil  Zobacz aktywność

  • Postów

    36 517

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Treść opublikowana przez picasso

  1. picasso
    Temat przenoszę do działu diagnostyki infekcji, gdyż "Ścieżka modułu powodującego błąd: bho.dll" to infekcja. O2 - BHO: (no name) - {0025320D-4D37-4C73-9A5C-0C28F04068A3} - C:\Users\Administrator\AppData\LocalLow\IE-BHO\bho.dll File not found Czy na pewno po skanach problem nadal występuje? Dostarcz raporty używanych narzędzi co było usuwane (logi AdwCleaner są w folderze C:\AdwCleaner. Zaś OTL to przestarzałe narzędzie, proszę uzupełnij obowiązujące tu logi z FRST. .
  2. picasso
    To znaczy, że brakuje określonych łat / komponentów aktualizacji w systemie, bo IE10 to nie jest najnowsza wersja. Powtarzaj szukanie Windows Update i instalację łat, aż do momentu, gdy się ujawni IE11 do pobrania.
  3. picasso
    Czy ten skok z Norton na Bitdefender nie był aby zbyt raptowny, tzn. czy w ogóle sprawdziłeś jak system pracuje bez żadnego antywirusa? 1. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw wynikowy log z folderu C:\AdwCleaner. 2. I skoro wymieniłeś antywirusa, to należy zrobić nowe raporty z FRST (włącznie z Addition) obrazujące zmiany. .
  4. picasso

    Conficker?

    picasso odpowiedział(a) na t00kie temat w Dział pomocy doraźnej

    Ad "widziałeś" = jestem kobietą. - Fix do FRST kompletnie nie wykonany. Popatrz co wkleiłeś do Notatnika, wszystkie linie sklejone. To się w żadnym wypadku nie przetworzy. Skrypt ma wyglądać identycznie jak w moim poście (przejścia do nowej linii). I problemem jest prawdopodobnie fakt, że używałeś Internet Explorer do przeklejania, to jedyna przeglądarka która wariuje tu na forum, inne poprawnie przeklejają nowe linie. - Deinstalacja Panda pozorowana, wszystkie sterowniki pozostały. Konieczne poprawki: 1. Zastosuj Panda Cloud Antivirus Uninstaller. Program uruchom w Trybie awaryjnym Windows. 2. Wklej do Notatnika: CloseProcesses: AV: Trend Micro Internet Security (Disabled - Up to date) {48929DFC-7A52-A34F-8351-C4DBEDBD9C50} AS: Trend Micro Internet Security (Disabled - Up to date) {F3F37C18-5C68-ACC1-B9E1-FFA9963AD6ED} S2 TimerStop; C:\Windows\SysWOW64\TimerStop.sys [4096 2006-12-18] () [File not signed] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 ipswuio; System32\DRIVERS\ipswuio.sys [X] U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\TuneUp Utilities 2013\TuneUpUtilitiesDriver64.sys [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-1912194083-1325834090-934441682-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0 Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk Task: {0C102F9E-9437-4842-9F1B-B34D75E8353A} - System32\Tasks\{07283C7A-FC79-4C1C-B284-8EEDE3AB860B} => Chrome.exe Task: {2F06CDA8-5C86-4AAD-BF1A-1FAF484D0AB7} - System32\Tasks\{1F7CE098-1D91-4EBE-B4E0-B6A1CBF29BE8} => Chrome.exe Task: {3A392F85-614C-4277-8A1A-2C3B56127611} - System32\Tasks\{60C95E64-B2B6-47F4-8DAF-5B5EED98F94A} => Chrome.exe Task: {A18C9D1D-FB34-4122-9EE8-DB92029268D7} - System32\Tasks\{7DB585FC-EDED-4757-BAD8-74C0585276F7} => Chrome.exe Task: {B19E2FD7-5C77-494D-89B9-8B84C5127490} - System32\Tasks\{ECB57B04-CBDF-46A2-AC97-F028EFD15F52} => Chrome.exe Task: {B7D99AD0-FC9E-4F59-86B7-E5B4CA93E400} - \{70C8B7F6-41C8-460D-BDE6-F4FA759B6DCD} No Task File Task: {BE156545-6A2C-455C-9C3F-E33E8AB90227} - \{89502FA8-E06D-4210-86EE-F883508F65ED} No Task File Task: {FDEF212A-848A-4BEF-9698-FA0F8DE7EE8A} - \{E8A1E74E-FA56-4221-B97E-E50BA4D5B9A4} No Task File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Kamil\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-1912194083-1325834090-934441682-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM-x32 - DefaultScope value is missing. SearchScopes: HKCU - {007DF9E9-3326-4192-B6CD-6F33F0FC0ACF} URL = https://www.google.com/search?q={searchTerms} SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://pandasecurity.mystart.com/results.php?gen=ms&pr=vmn&id=pandasecuritytb&v=4_1&ent=ch_653&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\ProgramData\rvlkl C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Roaming\Acymit C:\Users\Kamil\AppData\Roaming\AudioConverterPackages C:\Users\Kamil\AppData\Roaming\Fyagmo C:\Users\Kamil\AppData\Roaming\Mexo C:\Users\Kamil\AppData\Roaming\Mipony C:\Users\Kamil\AppData\Roaming\MiponyDownloadManagerPackages C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Nazoo C:\Users\Kamil\AppData\Roaming\Search The Web C:\Windows\pss\Empty.pif.Startup C:\Windows\SysWOW64\TimerStop.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Audio Converter Packages" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Kamil^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xrhir" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Przejścia do nowej linii mają wyglądać jak w moim poście, nic nie może być sklejone w jednej linii Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  5. picasso
    Kombinowałeś przed uruchomieniem mojego Fix do FRST, połowy obiektów nie odnaleziono. A konkretnie: był uruchamiany MBAM - proszę dostarcz log co on usuwał. Na przyszłość: proszę nie uruchamiaj żadnych skanerów w międzyczasie, a jeśli to się stało, nie wykonuj instrukcji podanych w poście, tylko dostarcz log ze skanera + cały komplet świeżych logów obowiązujących na forum. I kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Temp C:\ProgramData\boost_interprocess C:\ProgramData\install_clap C:\ProgramData\MFAData C:\ProgramData\Temp C:\Users\arekw77\AppData\Local\Avg2013 C:\Users\arekw77\AppData\Local\cache C:\Users\arekw77\AppData\Local\Chromium C:\Users\arekw77\AppData\Local\MFAData C:\Users\arekw77\AppData\Local\UpdateInstaller C:\Users\arekw77\AppData\Roaming\TuneUp Software RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\arekw77\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log z folderu C:\AdwCleaner. .
  6. picasso
    Wszystko wykonane i tytułowy problem powinien ustąpić, aczkolwiek nagle pojawiła sę jakaś polityka Google Chrome, której uprzednio nie było, są też inne drobne zmiany. Poprawki. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Policies\Google /s CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll No File FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\Program Files (x86)\MICROS~4\Office14\NPAUTHZ.DLL No File FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files (x86)\MICROS~4\Office15\NPSPWRAP.DLL No File BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\MICROS~4\Office15\URLREDIR.DLL No File Handler-x32: osf - {D924BDC6-C83A-4BD5-90D0-095128A113D1} - C:\Program Files (x86)\Microsoft Office\Office15\MSOSB.DLL No File C:\ProgramData\c738455ff494c861 C:\Users\Milosz\AppData\Roaming\appdataFr2.bin Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\system32\GroupPolicyUsers Folder: C:\Windows\SysWOW64\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicyUsers RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt.
  7. picasso
    Sprawdzałeś złe kontrolery IDE (Podstawowy + Pomocniczy), na których nie były podpięte żadne urządzenia. Ze spisu na obrazku wynikało, iż należy sprawdzać właściwości AMD Sata Controller (IDE Mode). Sprawę już rozwiązałeś, więc na koniec: 1. Odinstaluj starą wtyczkę Adobe Flash Player 14 ActiveX & Plugin. 2. Usuń używane narzędzia z folderu C:\Documents and Settings\Bednarr\Pulpit\Nowy folder (2) i popraw za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .
  8. picasso
    hgps Potrzebny nowy log z FRST. Jaki jest problem z jego wstawieniem? Strzelczanin To są wtyczki i rozszerzenia, z których będą korzystać nowe instalacje Firefox i Thunderbird. Te klucze są tworzone w systemie na wyrost, niezależnie od tego czy dana przeglądarka jest zainstalowana, by uniknąć tzw. "First Install Problem": KLIK. Czasem te klucze usuwam w całości (zależy czy są w nich śmieci adware albo jakiś konkretny problem z Firefox), a czasem nie. Ich usunięcie i tak jest tymczasowe. Dopóki jest zainstalowany główny program tworzący klucz wtyczki, klucz będzie odtwarzany. .
  9. picasso
    Plik AdwCleaner[R0].txt = opcja Szukaj, zaś AdwCleaner[s0].txt = Usuń. Tylko ten drugi jest mi potrzebny. I jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Users\Administrator RemoveDirectory: C:\Users\Guest RemoveDirectory: C:\Users\HomeGroupUser$ DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.
  10. picasso
    Ten skrót wygląda dziwnie. Skasuj go w tej ścieżce i wstaw mój: KLIK.
  11. picasso
    Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.
  12. picasso
    Wszystko wykonane. Kończymy: 1. Usuń ręcznie używane skanery z folderu C:\Users\tad\Desktop\diagnostyka_kompa, następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. .
  13. picasso
    Temat przenoszę do działu Windows. Wątpię w wirusy jako przyczynę, prędzej to jakiś instalator programu coś popsuł (a może ścieżki folderów Shella zostały uszkodzone w rejestrze). W raportach tylko odpadki adware widoczne, ale to kompletnie bez związku z problemami i na razie nawet nie będę się tym zajmować, gdyż stan systemu się zmieni. Skoro brakuje danych, skorzystaj z Przywracania systemu wybierając datę, gdy nie było problemu. W systemie są wykryte następujące punkty przywracania: ==================== Restore Points ========================= 07-08-2014 11:15:17 Zaplanowany punkt kontrolny 19-08-2014 13:03:44 Zaplanowany punkt kontrolny 22-08-2014 12:21:43 Sony PC Companion 09-09-2014 19:20:43 RCP Wt, wrz 09, 14 21:20 09-09-2014 22:27:00 Zainstalowany program DirectX 29-09-2014 13:33:41 Zaplanowany punkt kontrolny 11-10-2014 10:46:18 Sony PC Companion 16-10-2014 21:37:30 Zainstalowany program DirectX 16-10-2014 21:37:54 Installed NVIDIA PhysX 24-10-2014 17:11:48 Removed Grand Theft Auto IV 27-10-2014 17:49:24 Installed AVG 2015 27-10-2014 17:49:43 Installed AVG 2015 Gdy naprawisz defekt, zrób nowe raporty FRST (włącznie z Addition i Shortcut).
  14. picasso
    Zrobione. Na zakończenie: 1. Ręcznie usuń folder C:\Users\Kornel\Desktop\Nowy folder z narzędziami. Zastosuj DelFix 2. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji (ostatni log m.in. wykazywał stary IE): KLIK. .
  15. picasso
    Nie podałeś nowego skanu FRST po wszystkich akcjach.
  16. picasso
    W raportach brak widocznych oznak infekcji, do usunięcia będę tylko drobne puste wpisy, ale nie ma to obecnie znaczenia i potem ewentualnie tym się zajmę. Ten efekt także nie wydaje się być pochodną infekcji, objawy w ogóle się nie zgadzają i nie pasują do żadnej znanej mi infekcji: Konkretnie o jakie foldery i pliki chodzi? Czy jesteś pewien, że nikt inny ich po prostu nie skasował? Nie podałeś co wykrył Gdata, więc nic nie jestem w stanie powiedzieć. Do sprawdzenia dzienniki Gdata co usuwał i skąd. Te pliki ponoć tworzy odtwarzacz TV po podpięciu dysku w celu otworzenia plików video, a zawierają one dane w którym miejscu zpauzowano odtwarzanie. .
  17. picasso
    Temat przenoszę do działu Windows. Brak oznak infekcji. Cóż, główny podejrzany to COMODO Internet Security. Na próbę go odinstaluj i sprawdź co się stanie. PS. Gdy odinstalujesz COMODO, wykonaj kosmetykę, tzn. usunięcie odpadkowych wpisów. W spoilerze instrukcje. Nie wykonuj tego skryptu podczas czynnego COMODO (zablokuje akcje FRST). .
  18. picasso
    Co z poprzednim tematem (KLIK) - zamknąć? Jeśli chodzi o bieżący system, działa adware. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: RegClean-Pro, Rocket, SafeFinder Smartbar, WSE Rocket. - Stare wersje: Adobe Flash Player 13 ActiveX, Adobe Flash Player 13 Plugin, Adobe Reader XI - Polish, Java 7 Update 60 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.02.5636706; C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8\maintainer.exe [123680 2014-11-04] () R1 {7e4355b8-96cd-43eb-b59a-82af29f01b16}w; C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w.sys [43200 2014-10-29] (StdLib) S0 BMLoad; system32\drivers\BMLoad.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S1 tcpipBM; \??\C:\Windows\system32\drivers\tcpipBM.sys [X] Task: {614C29BC-EF42-48E5-B7BE-E739491F8174} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files\RCP\RegCleanPro.exe [2014-07-16] (RCP) Task: {6288A457-9E0A-476E-8A90-6BD09A326B24} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files\RCP\RegCleanPro.exe [2014-07-16] (RCP) Task: {B823A028-E70D-41CB-AF72-3EE9ED729221} - System32\Tasks\RegClean Pro => C:\Program Files\RCP\RegCleanPro.exe [2014-07-16] (RCP) Task: {EA0787D3-1CEB-4C9D-BCB0-F8C55A3C221B} - System32\Tasks\Rocket Updater => C:\Users\Asus\AppData\Roaming\RocketUpdater\UpdateProc\UpdateTask.exe [2013-05-02] () Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files\RCP\RegCleanPro.exe Task: C:\Windows\Tasks\Rocket Updater.job => C:\Users\Asus\AppData\Roaming\ROCKET~1\UPDATE~1\UPDATE~1.EXE GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} SearchScopes: HKLM - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://rocket-find.com/results.php?f=4&q={searchTerms}&a=rckt_ir_14_30_ch&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytAzztN1L2XzutAtFtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0ByCyC0DyCyCyDtG0AyDyB0CtGyCtCzyzytGtBtBzy0BtGyBtDzyzzyB0ByDtAzy0AyCtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=34284458&ir= SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://rocket-find.com/results.php?f=4&q={searchTerms}&a=rckt_ir_14_30_ch&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytAzztN1L2XzutAtFtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0ByCyC0DyCyCyDtG0AyDyB0CtGyCtCzyzytGtBtBzy0BtGyBtDzyzzyB0ByDtAzy0AyCtB2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=34284458&ir= SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_25_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytDtBtN1L2XzutBtFtBtCtFyEtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0CyEyC0CtD0D0AtGtB0FyDyDtGyC0E0E0CtGzztB0D0FtGtAyCtAyB0FtB0FzzzytDyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=745011580&ir= SearchScopes: HKLM - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5HzGso_TVx83Je_T_BzMLRIWufTx2Q_wNtRzzyCUETChR6PtXKymOTNCsIJaq9GTUIA2kFiHjYtwzpuW0XgZC2U2bwL1UuZDksHE8Xtk2OIVbg5kqWU6p4gVmMR5BRbXSu9iIEEhwIjhv8cZ7_bB-Q,,&q={searchTerms} SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9ho0X2xYDGc_QKYgplvE5AaQJzeB2jLGE-NmAMe2pSqyMGjluaNMH2Lwui4h00BhpjYKICu2Pnpv-lsq1y9QEQ5ND3aP10UZdhn9oleyYVod4v05SvQQ_TEYpag8GxERTDYS_NHRY0Y1w4w2KPvEauee6zxqPpc6yLbww,,&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_25_ff&cd=2XzuyEtN2Y1L1Qzu0D0CzzyD0D0EtCtD0Czz0CyB0BtA0BtAtN0D0Tzu0SzytDtBtN1L2XzutBtFtBtCtFyEtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StD0CyEyC0CtD0D0AtGtB0FyDyDtGyC0E0E0CtGzztB0D0FtGtAyCtAyB0FtB0FzzzytDyE0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StC0D0A0E0EyEyDtAtGtDzyzz0BtG0CyD0DtBtGtB0CtAzytGyByB0CtC0D0DyCtCzz0F0F0F2Q&cr=745011580&ir= SearchScopes: HKCU - {67B8B507-6308-4F8C-9088-BB9F905A8E16} URL = https://www.google.com/search?q={searchTerms} SearchScopes: HKCU - {77AA745B-F4F8-45DA-9B14-61D2D95054C8} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5HzGso_TVx83Je_T_BzMLRIWufTx2Q_wNtRzzyCUETChR6PtXKymOTNCsIJaq9GTUIA2kFiHjYtwzpuW0XgZC2U2bwL1UuZDksHE8Xtk2OIVbg5kqWU6p4gVmMR5BRbXSu9iIEEhwIjhv8cZ7_bB-Q,,&q={searchTerms} BHO: SafeFinder SmartbarEngine -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> C:\Windows\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKLM - SafeFinder Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\system32\mscoree.dll (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-3886030683-2889538507-278638460-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> C:\Users\Asus\AppData\Local\Rocket\Application\31.0.1650.23\delegate_execute.exe (Fast Browsers) C:\Program Files\Deal Keeper C:\Program Files\RCP C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\Users\Asus\AppData\Local\Pay-By-Ads C:\Users\Asus\AppData\Local\Rocket C:\Users\Asus\AppData\Local\Smartbar C:\Users\Asus\AppData\Roaming\{6f5d0382-9e3f-36f0-bd24-a17e270b8543} C:\Users\Asus\AppData\Roaming\AVG C:\Users\Asus\AppData\Roaming\AVG2014 C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rocket.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Search.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Search.lnk C:\Users\Asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Rocket C:\Users\Asus\AppData\Roaming\RocketUpdater C:\Users\Asus\AppData\Roaming\Systweak C:\Users\Asus\AppData\Roaming\TuneUp Software C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Asus\Desktop\Rocket.lnk C:\Users\Asus\Desktop\Search.lnk C:\Users\Asus\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Public\Desktop\RegClean Pro.lnk C:\Windows\System32\roboot.exe C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Infrastructure Helper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyOverride /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Asus\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Asus\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Asus\AppData\Local CMD: dir /a C:\Users\Asus\AppData\LocalLow CMD: dir /a C:\Users\Asus\AppData\Roaming CMD: netsh advfirewall reset CMD: sc config "Internet Manager. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .
  19. picasso
    Cóż, jest tu adware. Na czas wszystkich operacji wyłącz Gdata. Akcja: 1. Przez Panel sterowania odinstaluj adware, zbędniki i stare dziurawe aplikacje: Adobe Reader 9.5.5 MUI, Amazon Browser Bar, Amazon Browser Settings, Ask Toolbar, Ask Toolbar Updater, AVG Nation toolbar, BatBrowse 1.0.0, Bonanza Deals (remove only), DriverScanner, eBay Worldwide, Foxtab, Google Chrome, Java™ 6 Update 20 (64-bit), Java™ 6 Update 37, Trojan Remover 6.8.8. Przed deinstacją Google Chrome wyeksportuj zakładki (o ile potrzebne). Jeśli coś nie będzie widoczne lub zwróci błąd, nie szkodzi, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Allin1Convert_8hService; C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hbarsvc.exe [42504 2013-08-30] (COMPANYVERS_NAME) R2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [1735968 2013-10-31] () [File not signed] S1 {a459d632-5225-4bb9-9a0b-002544d16f6e}w64; system32\drivers\{a459d632-5225-4bb9-9a0b-002544d16f6e}w64.sys [X] HKLM\...\Run: [Allin1Convert Home Page Guard 64 bit] => C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\AppIntegrator64.exe [548936 2013-08-30] () HKLM-x32\...\Run: [Allin1Convert_8h Browser Plugin Loader] => C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hbrmon.exe [30096 2013-08-30] (VER_COMPANY_NAME) AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found Task: {051031EA-7CCD-4F44-A180-DA5A45F9098A} - System32\Tasks\{41AABDDA-6983-4023-8785-8B8379BC1BB6} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.116/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;systemlevelpresent Task: {053D9714-A6A2-4891-888B-0FB1D414E67E} - System32\Tasks\{CDF1E170-8A8A-4714-838E-D1E20797FE5E} => C:\Users\christian\Desktop\SkypeSetupFull.exe Task: {0D999B41-7067-4354-BB6F-2F16AEF65C46} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-03] (BonanzaDeals) Task: {16A2C9DA-D3B9-4956-8058-C743E916F00F} - System32\Tasks\{83659710-90E2-4A81-A996-FA0DF6D2E81B} => C:\Fraps\fraps.exe Task: {1741D5B8-5AFA-4620-A47F-C3FFB5B7B164} - System32\Tasks\{0DC1AD20-79FC-4345-9F79-E96054A6D759} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.120/de/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;systemlevelpresent Task: {27256352-5B41-4CB2-9FAA-6979882DDD31} - System32\Tasks\{BBAC4AD7-9DA3-4F18-A4AB-C0C7C397EE11} => C:\Users\christian\Desktop\SkypeSetupFull.exe Task: {6106B20A-A005-4177-95B9-C8830F1AE1A8} - System32\Tasks\{76D655E7-BFAB-41A1-9BF3-E778248B936E} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.120/de/exitsurvey Task: {6E35F6B2-FDDD-4F12-8BDF-2ABDFF73B3BB} - System32\Tasks\dsmonitor => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe Task: {6F7A2BC4-11A8-49EC-AB3B-B32FCD682B78} - System32\Tasks\{713DAC28-13BE-4346-B34A-4A023A4B2D5E} => Iexplore.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.120.259&LastError=404 Task: {7102BCCE-E470-439B-92B0-D4F1023E9938} - System32\Tasks\Plus-HD-1.3-firefoxinstaller => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-firefoxinstaller.exe Task: {74FDE5AA-7F49-44D1-B18D-9C89599DD9E7} - System32\Tasks\Advanced System Protector_startup => C:\Program Files (x86)\Advanced System Protector\AdvancedSystemProtector.exe Task: {7BEFCE49-6107-4A29-BC8D-17D4BC966C8B} - System32\Tasks\{B22DB34B-A53F-4A37-9A7A-002EA2331E3F} => C:\Fraps\fraps.exe Task: {81EFE518-B054-4195-9053-564163AD0BDF} - System32\Tasks\BonanzaDealsUpdate => C:\Program Task: {960B9373-59E6-4CC8-B792-BC8F7B1D021B} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2013-04-25] () Task: {A273F50D-711D-4F2B-B358-635268266DDB} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-03] (BonanzaDeals) Task: {CB0D2CDD-BED6-44A6-842E-1B304D472EBB} - System32\Tasks\FoxTab => C:\Users\CHRIST~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {FCF78FA7-32C3-44AD-BEE4-AE372F026985} - System32\Tasks\Plus-HD-1.3-chromeinstaller => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-chromeinstaller.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe Task: C:\Windows\Tasks\dsmonitor.job => C:\Program Files (x86)\Uniblue\DriverScanner\dsmonitor.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\CHRIST~1\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\Plus-HD-1.3-chromeinstaller.job => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-chromeinstaller.exe Task: C:\Windows\Tasks\Plus-HD-1.3-firefoxinstaller.job => C:\Program Files (x86)\Plus-HD-1.3\Plus-HD-1.3-firefoxinstaller.exe ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bing Maps 3D.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 ShortcutWithArgument: C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 ShortcutWithArgument: C:\Users\Public\Desktop\Bing Maps 3D.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=sc&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amazon.de/gp/bit/amazonserp/ref=bit_bds-p23_serp_ie_de_display?ie=UTF8&tagbase=bds-p23&tbrId=v1_abb-channel-23_1414a3b8b3e94b5fa1bcbfa772eec1c7_39_1006_20131001_DE_ie_sp_ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 URLSearchHook: HKCU - (No Name) - {5bcf818d-78c8-41b8-ba89-65c5fdac4fc4} - C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll (MindSpark) StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE SearchScopes: HKLM - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1377894186 SearchScopes: HKLM-x32 - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm070^YYA^de&si=flvrunner&ptb=0047B3E8-E7F5-41A0-AC2F-DF6F928AB630&ind=2013083007&n=77fd357f&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3317932&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP86E4DE0E-8236-4836-A044-0C8F9696F770&q={searchTerms}&SSPV= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3317932&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP86E4DE0E-8236-4836-A044-0C8F9696F770&q={searchTerms}&SSPV= SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=WDCXWD5000BEVT-22A0RT0_WD-WX51A10K8414K8414&ts=1380287928&type=default&q={searchTerms} SearchScopes: HKCU - {5A332F15-7221-4B36-A50D-F5A42523B616} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=U3&apn_dtid=OSJ000YYDE&apn_uid=61B9972B-509C-4617-A983-035F057E8A66&apn_sauid=AB323668-2548-45BC-9109-BA4F5AABA877 SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm070^YYA^de&si=flvrunner&ptb=0047B3E8-E7F5-41A0-AC2F-DF6F928AB630&ind=2013083007&n=77fd357f&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://avg.nation.com/avgtbavg/search/web?cid={4305E9CE-A4EB-4661-B09C-C24C515BFC3E}&mid=dbe8ea484b2547d3a0a6a113f0ae76c5-15e6f5bac83b61bf5c9a7534a6d553a0660df19c&lang=de&ds=AVG&coid=avgtbavg&pr=pr&d=2013-11-24 18:50:42&v=17.0.0.12&pid=nation&sg=0&sap=dsp&q={searchTerms} BHO-x32: Search Assistant BHO -> {a4c2fb10-84c3-44eb-9f9e-860fa1d9a797} -> C:\Program Files (x86)\Allin1Convert_8h\bar\1.bin\8hSrcAs.dll (MindSpark) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {CD1A63BA-A08C-431B-9A34-F240AADC728D} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File C:\Program Files (x86)\GUTB710.tmp C:\Program Files (x86)\GUMB700.tmp C:\Program Files (x86)\Advanced System Protector C:\Program Files (x86)\Allin1Convert_8h C:\Program Files (x86)\Amazon C:\Program Files (x86)\Amazon Browser Bar C:\Program Files (x86)\Ask.com C:\Program Files (x86)\BatBrowse C:\Program Files (x86)\BonanzaDealsLive C:\Program Files (x86)\Common Files\AVG Secure Search C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Plus-HD-1.3 C:\Program Files (x86)\SearchProtect C:\ProgramData\2433f433 C:\ProgramData\qwssxinyepgdpuw C:\ProgramData\btdytxjcqreuqbr C:\ProgramData\uxtnjhbeqxicuta C:\ProgramData\dbacabdccccfdgfdgfdgdfg.cfg C:\ProgramData\dbacabdccccfdgfdgfdgdfg.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced System Protector C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trojan Remover C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue C:\ProgramData\Temp C:\Users\christian\AppData\Local\{*} C:\Users\christian\AppData\Local\*.tmp C:\Users\christian\AppData\Local\Mozilla C:\Users\christian\AppData\Local\Google\Chrome C:\Users\christian\AppData\Roaming\d C:\Users\christian\AppData\Roaming\.# C:\Users\christian\AppData\Roaming\.minecraft C:\Users\christian\AppData\Roaming\393F795B C:\Users\christian\AppData\Roaming\amazon C:\Users\christian\AppData\Roaming\FoxTab C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DriverScanner.lnk C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\christian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\christian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals C:\Users\christian\AppData\Roaming\Mozilla C:\Users\christian\AppData\Roaming\Picyin C:\Users\christian\AppData\Roaming\Poegy C:\Users\christian\AppData\Roaming\Simply Super Software C:\Users\christian\AppData\Roaming\Systweak C:\Users\christian\AppData\Roaming\TeamViewer C:\Users\christian\AppData\Roaming\Template C:\Users\christian\AppData\Roaming\TuneUp Software C:\Users\christian\AppData\Roaming\Uniblue C:\Users\christian\AppData\Roaming\URSoft C:\Users\christian\AppData\Roaming\Waufte C:\Users\christian\AppData\Roaming\Zeon C:\Users\christian\Desktop\Google Chrome.lnk C:\Users\christian\Desktop\T O O L S\DriverScanner.lnk C:\Users\christian\Desktop\T O O L S\Trojan Remover.lnk C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\DefaultAppPool\AppData\Roaming\TuneUp Software C:\Users\Public\AlexaNSISPlugin.5152.dll C:\Users\Public\Desktop\eBay.lnk C:\Users\Public\Desktop\Google Chrome.lnk RemoveDirectory: C:\Users\MAX Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\christian\AppData\Local CMD: dir /a C:\Users\christian\AppData\LocalLow CMD: dir /a C:\Users\christian\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą wersję Google Chrome: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .
  20. picasso
    Dostosuj się do zasad działu: KLIK. Podałeś tylko log z przestarzałego OTL (i to tylko jeden, dodatkowy Extras, a nie główny). Dostarcz obowiązkowe logi z FRST i GMER. Logi proszę umieść w formie załączników forum, a nie na serwisach wklejkowych.
  21. picasso
    MrLegutek, założyłeś temat w dziale diagnostyki infekcji, a nie dostosowałeś się w ogóle do zasad działu: KLIK. Wymagane są raporty systemowe. Dostarcz obowiązkowe logi z FRST i GMER, a dodatkowo także Farbar Service Scanner.
  22. picasso
    Jest tu owszem adware i na dodatek Google Chrome (stara wersja) to typ development a nie stabilna (prawdopodobnie adware wykonało konwersję przeglądarki). Aczkolwiek widać także uszkodzenia w systemie - mnóstwo usług i sterowników Microsoftu jest oznaczonych jako niepodpisanych cyfrowo. Możliwe, że tu się klaruje reinstalacja całego systemu... System zaś nie wygląda na oryginalny, widać że był instalowany z przerobionego via nLite nośnika. Jeśli chodzi o adware i śmieci, doraźnie przeprowadź następujące akcje: 1. Przez Dodaj/Usuń programy odinstaluj stare dziurawe aplikacje i zbędniki: Adobe Reader 9 - Polish, Google Chrome, Java 7 Update 21, Java™ 6 Update 26, McAfee Security Scan Plus. Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 5ba659a8; c:\Program Files\GS_Booster\AssistantSvc.dll [174928 2014-09-17] () [File not signed] Task: C:\WINDOWS\Tasks\GS_Booster-S-3061371028.job => c:\documents and settings\all users\dane aplikacji\trusted publisher\gs_booster\GS_Booster.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://newtab.certified-toolbar.com/nie?si=41460&tid=2938&new=true" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=2938&q={searchTerms} SearchScopes: HKCU - 61A3D2A79BCB483F9085CDB5AB87E3BC URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST3320613AS_5SZ0Q3F5XXXX5SZ0Q3F5&ts=7143525 SearchScopes: HKCU - {1ED1EF60-C199-455E-95D9-9D772C5E1762} URL = http://www.we-dwoje.pl/szukaj,0.html?q={searchTerms} SearchScopes: HKCU - {CC0F0B46-AC72-434F-9880-D1649E12BA46} URL = http://szukaj.gazeta.pl/portalSearch.do?&s.sm.query={searchTerms}&s.si(navigation).navigationEnabled=true&search_r=serwis&dxx=97130&VE_szukaj={searchTerms}&szuk=gazeta&ile=10&b=&q= SearchScopes: HKCU - {CEB034C8-B330-4245-BC3B-F552587FB9D2} URL = http://wizaz.pl/content/advancedsearch?SearchText={searchTerms}&SearchContentClassID=&SearchPageLimit=5 SearchScopes: HKCU - {DBB580AE-E05D-400D-BFC3-817ED8D968EA} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000STPL&apn_uid=B799E016-B9E4-40AF-BC02-6BD1B4B6595A&apn_sauid=EA7094E3-EDC0-4031-915C-FA6758C1C408 Toolbar: HKCU - No Name - {00000000-0000-0000-0000-000000000000} - No File HKLM\...\Run: [] => [X] HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\...\Run: [ares] => "C:\Program Files\Ares\Ares.exe" -h HKU\S-1-5-21-1177238915-1060284298-1801674531-1003\...\Run: [ChomikBox] => C:\Program Files\ChomikBox\chomikbox.exe HKLM\...\Run: [NBKeyScan] => "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 vToolbarUpdater14.0.1; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe [X] S3 catchme; \??\D:\Temp\catchme.sys [X] S3 esihdrv; \??\D:\Temp\esihdrv.sys [X] S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X] CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\UZYTKO~1\Pulpit\BESTPL~1.EXE No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1177238915-1060284298-1801674531-1003_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File C:\Documents and Settings\All Users\Dane aplikacji\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\Documents and Settings\All Users\Dane aplikacji\6ffdd72f11393e14 C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\whoislive C:\Documents and Settings\Jakub\Dane aplikacji\Opera Software C:\Documents and Settings\Uzytkownik\sqlite3.dll C:\Documents and Settings\Uzytkownik\Dane aplikacji\maxup C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla C:\Documents and Settings\Uzytkownik\Dane aplikacji\Opera C:\Documents and Settings\Uzytkownik\Dane aplikacji\Opera Software C:\Documents and Settings\Uzytkownik\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\GS_Booster C:\Program Files\Google C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\sqlite3.dll Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc stop cryptsvc CMD: ren C:\Windows\system32\catroot2 catroot2.old EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Documents and Settings\Uzytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Uzytkownik\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. W systemie są trzy czynne konta: Administrator (S-1-5-21-1177238915-1060284298-1801674531-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Jakub (S-1-5-21-1177238915-1060284298-1801674531-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Jakub Uzytkownik (S-1-5-21-1177238915-1060284298-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Uzytkownik Dostarczone tu były logi z konta Użytkownik, potrzebne także logi z konta Jakub. Po kolei zaloguj się na każde konto poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan (zaznacz pole Addition, ale nie Shortcut, by powstały po dwa logi na konto). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .
  23. picasso
    sandal23rx, nie dostosowałeś się do zasad działu: KLIK. Podany mierny zestaw raportów, OTL to przestarzałe narzędzie. Proszę uzupełnij obowioązkowe logi z FRST i GMER.
  24. picasso
    Logi proszę umieszczaj jako załączniki forum - wstawiłam. FRST główny nie został skonfigurowany zgodnie z instrukcją, sekcje Drivers MD5 i List BCD nie miały być zaznaczone - wycięłam te linie z raportu. Był używany ComboFix i na przyszłość: KLIK. Problemem nie jest infekcja w systemie i tu nie pomogą żadne skanery, problemem jest zainfekowany router. Ten pierwszy adres IP jest szkodliwy, niemiecki: KLIK. Tcpip\Parameters: [DhcpNameServer] 5.175.225.133 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Przez Panel sterowania odinstaluj stare oraz zbędne aplikacje: Adobe Reader 8, Browser Configuration Utility, Spybot - Search & Destroy. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1951097551-1211598341-2891729207-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {474BFF2A-FD34-4dde-AEED-08141CEB8141} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKCU - {1CDE10F6-A1B7-4b18-87FB-5357165A887E} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKCU - {474BFF2A-FD34-4dde-AEED-08141CEB8141} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" CMD: ipconfig /flushdns CMD: type C:\ComboFix.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
  25. picasso
    Apps Hat i reklamy to nie jedyny problem, w systemie działa też infekcja robak Gamarue. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [45973] => C:\ProgramData\Local Settings\Temp\msquzu.cmd [56416 2012-09-20] ( (Microsoft Corporation)) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-29] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-29] (globalUpdate) [File not signed] Task: {C83C69E5-D7D6-4876-926F-F0D107DFF6D8} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-29] (globalUpdate) Task: {E50A09E5-71A1-47E9-9683-6F21C6A5A535} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-29] (globalUpdate) Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) BHO: Apps Hat -> {11111111-1111-1111-1111-110411851159} -> C:\Program Files (x86)\Apps Hat\Apps Hat-bho64.dll No File C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Local Settings C:\Users\arekw77\AppData\Local\globalUpdate C:\Users\arekw77\AppData\Local\Mobogenie C:\Users\arekw77\Downloads\*(*)-dp*.exe Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Codec Pack Packages" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IPLA! /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Yontoo Desktop" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NTRedirect /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v uTorrent /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v sidebar /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "OpenOffice.org 3.4.1.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Zune Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLMLServer_For_P2G8 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RemoteControl10 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v DivXMediaServer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v tuto4pc_pl_16 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\arekw77\AppData\Local CMD: dir /a C:\Users\arekw77\AppData\LocalLow CMD: dir /a C:\Users\arekw77\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie FoxTrick trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .
×
×
  • Dodaj nową pozycję...