picasso

Stosowałeś wątpliwy program YAC (Yet Another Cleaner) - z daleka od niego. Czyszczenie systemu nie pomoże, tu nie ma bowiem infekcji w Windows per se, zainfekowany jest router. Poniższe adresy nie są polskie: KLIK. Tcpip\Parameters: [DhcpNameServer] 31.3.252.77 31.3.252.83 Wdróż te akcje: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /s HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: localhost:8080 BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File FF Plugin: @videolan.org/vlc,version=2.1.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll No File FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll No File FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_189.dll No File FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL No File FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {1DEC1943-4208-4DEF-BBF6-093DC14E8A8E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {943B5257-30C9-4D45-B829-8DAA21AE3DFF} - System32\Tasks\{423CA1DB-DBA8-4466-A874-9BF303C5D2A3} => C:\Program Files (x86)\Reason\Should I Remove It\ShouldIRemoveIt.exe BootExecute: autocheck autochk * sdnclean64.exe S3 btmaux; system32\DRIVERS\btmaux.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 intaud_WaveExtensible; system32\drivers\intelaud.sys [X] S3 iwdbus; system32\DRIVERS\iwdbus.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S3 NvStreamKms; \??\C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [X] S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:A03fO0CG8Z2xc4OPOJMs AlternateDataStreams: C:\ProgramData\Microsoft:IoH0vafAntLUCSYvq93Bcj AlternateDataStreams: C:\ProgramData\Microsoft:kcsfiNCXziUY4Ym0oKuS8ebCp4 AlternateDataStreams: C:\Users\Maciej Skrzypiec\AppData\Local\Temp:Dn5bA7i8kvgo2aNls C:\Program Files\AVAST Software C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Google C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\AVAST Software C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\YTD Video Downloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\Maciej Skrzypiec\AppData\Local\23694 C:\Users\Maciej Skrzypiec\AppData\Local\Google C:\windows\system32\log C:\windows\system32\Drivers\etc\hosts.*.backup C:\windows\System32\Tasks\Safer-Networking C:\windows\SysWOW64\sqlite3.dll Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W Firefox jest niepożądane rozszerzenie symulujące Flash Player. Ponadto, widzę tu też jakieś podejrzane polityki Google i Internet Explorer. Był używany SpyHunter - to wątpliwy program, od którego należy trzymać się z daleka. FF Extension: Flash Player - C:\Users\Dorota\AppData\Roaming\Mozilla\Firefox\Profiles\xs6ffdcd.default\Extensions\M1uwW0@47z8gRpK8sULXXLivB.com.xpi [2014-11-01] EDIT: Proszę następnym razem informuj o zakładaniu tematu na innym forum (KLIK). Poniższe instrukcje zostają więc zedytowane i dostosowane do tego co już zrobiono, fałszywy "Flash Player" nadal jest w Firefox. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\...\Policies\Explorer: [NoFolderOptions] 0 C:\Program Files\Enigma Software Group C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\system32\log Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, DownloadHelper i McAfee SafeKey) trzeba będzie przeinstalować, przy czym ten McAfee to się prawdopodobnie samoistnie doda ponownie (działa w tle pakiet McAfee). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner. .

SpyHunter to program wątpliwej reputacji. Posługujesz się przestarzałym FRST pozbawionym nowych skanów, komend i innych poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2014 (ATTENTION: ====> FRST version is 65 days old and could be outdated) Nie wiem skąd go pobrałaś, ale nie wygląda na to, że ze strony domowej programu (jedyny autoryzowany link w całym internecie). Proszę pobierz najnowszą wersję z linka w przyklejonym i zrób na nowo wszystkie trzy logi FRST: KLIK. .

W systemie ładuje się usługa adware "VideoCnv", która uruchamia własny plik DLL za pomocą systemowego procesu rundll32.exe. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 fa6789c5; c:\program files (x86)\VideoCnv\Zet.dll [3752448 2014-10-27] () [File not signed] S2 AODDriver4.2; \??\C:\Program Files (x86)\GIGABYTE\ET6\amd64\AODDriver2.sys [X] U3 AppMgmt; No ImagePath U2 CscService; No ImagePath S3 ESEADriver2; \??\C:\Users\Milosz\AppData\Local\Temp\ESEADriver2.sys [X] U3 PeerDistSvc; No ImagePath Task: {3E558270-F2B8-46C6-A5E1-4489715C591D} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed оn Milosz logon => C:\Program Files (x86)\Auslogics\BoostSpeed\BoostSpeed.exe Task: {FB07518A-87E5-47FF-9FCF-F97A79985898} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe HKU\S-1-5-21-2669467967-2915321183-38771872-1000\...\MountPoints2: {92b76c49-4df4-11e3-b21e-94de807a69c1} - F:\setup.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hao.dashi.com FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\VideoCnv C:\Windows\System32\Tasks\Auslogics EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skoryguj DNS w Windows, gdyż ten drugi adres nie jest polski. Instrukcje: KLIK. Tcpip\..\Interfaces\{9FE891B3-8212-4F7F-8BB2-09103A011424}: [NameServer] 194.204.159.1,74.82.42.42 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Problemem są odpadkowe wpisy po odpiętych już dyskach (np. przenośnych). Nie jest to szczególny problem i to już zostawmy w spokoju. Adware przekonfigurowało skróty LNK przeglądarek dopisując otwieranie tej szczególnej strony. Wdróż następujące działania: 1. Na początek oinstaluj stare wersje i zbędniki: Adobe Flash Player ActiveX, Adobe Reader 9.1 - Polish, Java 7 Update 67, Java™ 6 Update 7, McAfee Security Scan Plus, OpenOffice.org Installer 1.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\oem\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401465415&from=wpc&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = about:blank HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401465415&from=wpc&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} SearchScopes: HKLM - {768D0F96-8B0E-7DFF-8E53-5B93D52C3275} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtBtBtCyDtCyB0B0C0B0BtA0BtDyCtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1675312693 SearchScopes: HKLM - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - Backup.Old.DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} SearchScopes: HKCU - 35EF8322F42D4BCD99DC083745EEFE15 URL = http://isearch.avg.com/search?cid={AF6C28BE-BD48-47D1-AE4E-3DFFA628C2C8}&mid=780cad32e5dfd6bfdeebcc3df246f663-34e985a55237710ff26fa09697eaaa4fc353a451&lang=pl&ds=AVG&pr=fr&d=2012-06-10 08:17:52&v=11.1.0.7&sap=dsp&q={searchTerms} SearchScopes: HKCU - {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=b80f3b0600000000000000221517bcbb&tlver=1.4.19.19&ss=1&affID=17981 SearchScopes: HKCU - {28DC2F23-8DD3-4332-A7CE-BCDA9CBEC507} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=994519&p={searchTerms} SearchScopes: HKCU - {768D0F96-8B0E-7DFF-8E53-5B93D52C3275} URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKCU - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKLM - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKCU - No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File Task: {380A623B-0272-4DD9-B87A-116A35AC290C} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {4176E6CD-46C2-47E3-882C-D801122242E4} - System32\Tasks\Opera D4 => C:\Program Files\Opera\launcher.exe Task: {652CED9F-ABA2-4258-B80D-2C9D10A0157A} - System32\Tasks\e-pity2012_styczen => H:\Ja\e-pity2012\signxml.exe Task: {ACA175B9-B474-45C2-9B92-1FAEE73906BD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe Task: {B6A8A52C-CAE7-4177-9EA3-B9F3B91EDF7B} - System32\Tasks\e-pity2012_kwiecien => H:\Ja\e-pity2012\signxml.exe Task: {C62496AA-7462-40FF-B43E-991E5C4EE519} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: {E1E3955D-6403-4CEA-9FFB-1668EE6BE0E4} - \Funmoods No Task File Task: {E694FDBE-70BD-4AF5-A065-EF49E5B44553} - System32\Tasks\Opera D2 => C:\Program Files\Opera\launcher.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe S2 AVTasks2; C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE [X] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\pswi_preloaded.exe C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Local\prvlcl.dat C:\Users\oem\AppData\Local\Google C:\Users\oem\AppData\Roaming\*.exe C:\Users\oem\AppData\Roaming\AutoUpdate C:\Users\oem\AppData\Roaming\AVG2014 C:\Users\oem\AppData\Roaming\Babylon C:\Users\oem\AppData\Roaming\DAEMON Tools C:\Users\oem\AppData\Roaming\DAEMON Tools Lite C:\Users\oem\AppData\Roaming\Desktopicon C:\Users\oem\AppData\Roaming\eMule C:\Users\oem\AppData\Roaming\F-Secure C:\Users\oem\AppData\Roaming\Funmoods C:\Users\oem\AppData\Roaming\LimeWire C:\Users\oem\AppData\Roaming\Listonosz C:\Users\oem\AppData\Roaming\maxup C:\Users\oem\AppData\Roaming\mystartsearch C:\Users\oem\AppData\Roaming\Onet C:\Users\oem\AppData\Roaming\OpenFM C:\Users\oem\AppData\Roaming\Opera Software C:\Users\oem\AppData\Roaming\pl.com.bebiko.widgetbebiko.35EA91C6F98F4F5A01FBE12E388378AD6D359940.1 C:\Users\oem\AppData\Roaming\Systweak C:\Users\oem\AppData\Roaming\temp C:\Users\oem\AppData\Roaming\TuneUp Software C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BabylonToolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CafeNews" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Załaduj fixlist.txt do FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f RemoveDirectory: C:\AdwCleaner

Tylko, że YAC to także wątpliwy program: KLIK. Podtrzymuję: proszę dostarcz dane.

Tym razem wszystko poszło sprawnie. Teraz: Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner.

Sprawdź transfer dysku. Sprawa rozpisana w wątku Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Większość operacji wykonana, ale był problem ze skasowaniem zadań z Hrmonogramu. Poprawki. Otwórz Notatnik i wklej w nim: Task: {C97C5433-76B4-4364-8E8F-3185484BE531} - System32\Tasks\RocketTab => C:\Windows\system32\cmd.exe [2010-11-21] (Microsoft Corporation) Task: {D6F03F95-BC4F-44AC-AEFD-96AD3A9FC9B7} - System32\Tasks\RocketTab Update Task => C:\Program Files (x86)\Search Extensions\uninstall.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {F15C06CF-4F8D-41EF-9E5B-1B4E492B98B2} - System32\Tasks\{188A75D0-A367-46C6-A784-9DBEE6A8FB84} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/en/go/help.faq.installer?source=lightinstaller&LastError=1618 C:\Program Files\Enigma Software Group C:\Program Files (x86)\GreenTree Applications C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\Happy2SAAVeo C:\ProgramData\ijacghhikfpcfmoeliihbaoohjbiiplj C:\ProgramData\NeewSavverr C:\ProgramData\RanidaoemPPrice C:\ProgramData\Trusted Publisher C:\Users\Tim\AppData\Local\Chromatic Browser C:\Users\Tim\AppData\Local\Comodo C:\Users\Tim\AppData\Local\Torch C:\Users\Tim\AppData\Roaming\OpenCandy C:\Users\Tim\AppData\Roaming\SendSpace Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy plik fixlog.txt. .

W tej sytuacji podejrzenia budzi ESET Smart Security - zresztą okropnie stary z roku 2009 i tak należy się go pozbyć. Odinstaluj go całkowicie, następnie przejdź w Tryb awaryjny i popraw narzędziem ESET Uninstaller. Podaj czy jest poprawa po usunięciu.

Wszystko wykonane i możemy kończyć. Usuń z Pobranych GMER oraz Pulpitu foldery FRST i Stare dane programu Firefox. Następnie zastosuj DelFix. To tyle.

Wg raportów w systemie nie było śladów infekcji. Wyłączanie antywirusa nie jest dowodem na obecność infekcji, a brak powiadomień Centrum może np. występować, gdy BitDefender nie jest integrowany z Centrum (błąd rejestracji WMI). Dla świętego spokoju możesz zrobić nowe logi z FRST (włącznie z Addition pokazującym rejestracje WMI w Centrum) i GMER. .

Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście BlueSprig Toolbar v9.7 > Dalej. Konto możesz oczywiście usunąć, jeśli nie jest potrzebne. .

Akcje pomyślnie wykonane. Kończymy: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\Windows\DB847E94446B49E0AC5DC5627EC8B0C0.TMP DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj systemowy Internet Explorer z wersji IE8 do IE11. .

Problem stanowi wpis "CMD" w starcie uruchamiający stronę "extendedunlimited.org". Prócz tego są inne odpadki adware. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2008462518-3471571786-2155850046-1000\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit S2 248642b4; c:\Program Files (x86)\PC_Booster\AssistantSvc.dll [174928 2014-08-04] () [File not signed] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] CMD: type C:\Windows\System32\Tasks\RocketTab Task: {C97C5433-76B4-4364-8E8F-3185484BE531} - System32\Tasks\RocketTab => C:\Windows\system32\cmd.exe [2010-11-21] (Microsoft Corporation) Task: {D6F03F95-BC4F-44AC-AEFD-96AD3A9FC9B7} - System32\Tasks\RocketTab Update Task => C:\Program Files (x86)\Search Extensions\uninstall.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {F15C06CF-4F8D-41EF-9E5B-1B4E492B98B2} - System32\Tasks\{188A75D0-A367-46C6-A784-9DBEE6A8FB84} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/en/go/help.faq.installer?source=lightinstaller&LastError=1618 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://astromenda.com/?f=1&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = SearchScopes: HKCU - DefaultScope {A9CBE41D-2036-4DE3-BECE-586D3C8D53C0} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321537&octid=EB_ORIGINAL_CTID&ISID=M2B5B9ABB-3605-494C-823F-D03D06A4C54F&SearchSource=58&CUI=&UM=6&UP=SP09B49DD0-2C7A-41EE-A6A1-198E8A4C28B8&q={searchTerms}&SSPV= SearchScopes: HKCU - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = https://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} SearchScopes: HKCU - {A9CBE41D-2036-4DE3-BECE-586D3C8D53C0} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File CHR StartMenuInternet: Google Chrome - chrome.exe C:\Program Files (x86)\CoupExteinsioN C:\Program Files (x86)\NextCoup C:\Program Files (x86)\PC_Booster C:\ProgramData\.windows.sys C:\ProgramData\71c2c357dfa911ca C:\ProgramData\APN C:\ProgramData\CoupExteinsioN C:\ProgramData\GoSaave C:\ProgramData\NextCoup C:\ProgramData\PriCeCHoopo C:\ProgramData\TakkeTHeCouPon C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\msdownld.tmp C:\Windows\SysWOW64\setup.exe RemoveDirectory: C:\Users\Tim\Desktop\FRST-OlderVersion Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BRS" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{248642b4} /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tim\AppData\Local CMD: dir /a C:\Users\Tim\AppData\LocalLow CMD: dir /a C:\Users\Tim\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Owszem, adware jest w systemie: rozszerzenie "PodoWeb" w Firefox oraz usługa "maintainer.exe". Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-11-02] () C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\Program Files (x86)\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany) i ten log z MBAM pokazujący co wcześniej było usuwane. Wypowiedz się czy widzisz pozytywne zmiany w systemie. .

W systemie działa infekcja, w starcie uruchamia się podrobiony "Flash Player" (fffplayer32.exe), a obiekt wygląda na załadowany z jakiś lewych paczek do Tibia. Prócz tego są też różne obiekty adware. A system wygląda na nieoryginalny i scrackowany via "KMSpico" - nie jest wykluczone, że usługa "Service KMSELDI" jest problematyczna i będzie usuwana. Przeprowadź następujące działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware BlueSprig Toolbar v9.7. Pozbądź się także wszystkich dodatków do Tibia ostatnio pobieranych. - Jeśli chodzi o niemożliwy do odinstalowania AVG, spróbuj AVG Remover. Program zastosuj z poziomu Trybu awaryjnego Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Gamma Colors] => C:\Program Files\Common Files\Flash Player\fffplayer32.exe [2763838 2014-05-11] (CipSoft GmbH) S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [974016 2014-03-02] () [File not signed] Task: {639CC502-F377-4F41-96AF-118E0E1AD569} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {8CC26BBF-7820-475B-91DC-2BDFFDB5BDA6} - System32\Tasks\SW_Booster-S-1467139175 => c:\programdata\rightapp software\sw_booster\SW_Booster.exe Task: C:\Windows\Tasks\SW_Booster-S-1467139175.job => c:\programdata\rightapp software\sw_booster\SW_Booster.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 SearchScopes: HKCU - {170F9CDF-2C69-456A-8202-9A8D3B5EC17E} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=925777&p={searchTerms} BHO: No Name -> {6EA0EA94-709E-DEAE-4EE4-3680D16DD2A8} -> No File C:\Program Files\Common Files\Flash Player C:\Program Files (x86)\BlueSprig Toolbar C:\Program Files (x86)\Temp C:\Program Files\KMSpico C:\ProgramData\MFAData C:\ProgramData\TEMP C:\Users\Konrad\OSBuddy C:\Users\Konrad\AppData\Roaming\BlueSprig C:\Users\Konrad\AppData\Roaming\rmi C:\Users\Konrad\Downloads\*(*)-dp*.exe C:\Users\Konrad\Downloads\ipchanger.exe C:\Users\Konrad\Downloads\OSBuddy*.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeglądarka Google Chrome jest zaśmiecona adware, ale dodatkowo została przekonwertowana przez adware z wersji stabilnej do development. Wymagana kompletna reinstalacja: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i MEGA) trzeba będzie przeinstalować. 5. W systemie są dwa konta: ========================= Accounts: ========================== Ewa (S-1-5-21-3503546630-2230702639-2809708747-1001 - Administrator - Enabled) => C:\Users\Ewa Konrad (S-1-5-21-3503546630-2230702639-2809708747-1000 - Administrator - Enabled) => C:\Users\Konrad Dostarczone zostały logi z konta Konrad, potrzebne logi FRST z obu kont. Po kolei zaloguj się na każde z nim poprzez pełny restart omputea (a nie opcję Wyloguj czy Przełącz użytkownika) i i zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały po dwa logi na każdym koncie. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Wypowiedz się czy jest jakaś poprawa. .

Czy po wykonaniu operacji nastąpiła poprawa? Poprawki: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj FromDocToPDF (powiązany z ask.com). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Users\Tomek\AppData\Roaming\*.ex* C:\Users\Tomek\Downloads\setup.exe RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Dostarcz wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log wynikowy z foderu C:\AdwCleaner. .

Czy problem reklam nadal występuje? Wszystko wykonane pomyślnie. Drobniutka porawka - otwórz Notatnik i wklej w nim: HKU\S-1-5-21-515967899-1958367476-725345543-1007\...\Run: [CW] => [X] RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowyfixlog.txt.

Na zakończenie usuń używane narzędzia za pomocą DelFix, wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK.

Fix został pomyślnie wykonany. - Na koncie "4" nic już nie widać do usuwania. - Na koncie "siwek" w Firefox w rozszerzeniach odinstaluj HomeTab. Czy problem nadal występuje po przeprowadzonym usuwaniu? Trzecim kontem jest wbudowany w system Administrator, konto jest włączone. Prawdopodobnie aktywowałeś je podczas wchodzenia w Tryb awaryjny, gdyż konto to pokazuje się tylko na ekranie awaryjnego (o ile nie ma żadnych innych lokalnych administratorów). Logi z Administratora sobie darujmy. .

Problem tworzy wpis "CMD" w starcie kierujący do otwierania strony "extendedunlimited.org". Przeprowadź następujące działania: 1. Na początek jednak odinstaluj via Panel sterowania wątpliwy program SpyHunter. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1007308674-706615955-2750518701-1000\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit HKLM-x32\...\Run: [] => [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Proszę dostosuj się do zasad działu: KLIK. OTL to narzędzie przestarzałe i logi sprawdzane tylko jak krok dodatkowy. Uzupełnij obowiązkowe logi z FRST.

W raportach FRST widać podejrzane zadania Harmonogramu "InfiniteCrisis" kierujące do iexplore.exe i to jedyne co można powiązać. I jeszcze plik HOSTS ma podejrzane atrybuty (jest ukryty, a jego zawartość odpowiada systemowi Vista a nie XP). Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\InfiniteCrisis TW1.job => C:\Program Files\Internet Explorer\iexplore.exe Task: C:\WINDOWS\Tasks\InfiniteCrisis TW2.job => C:\Program Files\Internet Explorer\iexplore.exe BootExecute: 콈м괵粑 S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Documents and Settings\All Users\Pulpit\Free Offers.lnk C:\Documents and Settings\4\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\4\Dane aplikacji\Elex-tech C:\Documents and Settings\4\Dane aplikacji\GameOff C:\Documents and Settings\4\Dane aplikacji\InfiniteCrisis486 C:\Documents and Settings\4\Menu Start\Programy\InfiniteCrisis C:\Documents and Settings\4\Pulpit\Nieużywane skróty pulpitu\Free Offers.lnk C:\Documents and Settings\4\Pulpit\Nieużywane skróty pulpitu\Samsung Kies.lnk C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\com C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\CRE C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ICSharpCode.net Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashGet 3" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_pl_10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są aż 3 czynne konta: ========================= Accounts: ========================== 4 (S-1-5-21-776561741-706699826-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\4 Administrator (S-1-5-21-776561741-706699826-682003330-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator siwek (S-1-5-21-776561741-706699826-682003330-1008 - Limited - Enabled) => %SystemDrive%\Documents and Settings\siwek Wymagane logi FRST z każdego z osobna. Zaloguj się po kolei na każde poprzez pełny reset komputera (nie przez Wyloguj lub Przełącz użytkownika) i zrób nowy log FRST (bez Addition i Shortcut). Dorzuć też zaległy GMER oraz plik fixlog.txt. .