picasso

Wsystko zrobione. Wymagane poprawki: 1. W Operze jest także adware. Otwórz interfejs Rozszerzeń i odinstaluj iWebar, Senses. 2. Otwórz Notatnik i wklej w nim: S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] C:\Program Files (x86)\Temp C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Symantec C:\Users\Ninos\Doctor Web C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions\Temp RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt i opisz co się obecnie dzieje w systemie. .

W eksploratorze Windows > Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Poprzednie zadania wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\majtuto4pc_pl_a1 C:\Program Files (x86)\SaveSenseLive C:\Program Files (x86)\SymSilent C:\ProgramData\~Browser Manager C:\ProgramData\Babylon C:\ProgramData\IBUpdaterService C:\ProgramData\IePluginServices C:\ProgramData\install_clap C:\ProgramData\Mozilla C:\ProgramData\NortonInstaller C:\ProgramData\SaveSenseLive C:\ProgramData\WPM C:\Users\grzegorz\AppData\Local\avgchrome C:\Users\grzegorz\AppData\Local\cache C:\Users\grzegorz\AppData\Local\eorezo C:\Users\grzegorz\AppData\Local\genienext C:\Users\grzegorz\AppData\Local\SaveSenseLive C:\Users\grzegorz\AppData\LocalLow\Claro LTD C:\Users\grzegorz\AppData\LocalLow\Sun C:\Users\grzegorz\AppData\Roaming\Babylon C:\Users\grzegorz\AppData\Roaming\Claro LTD C:\Users\grzegorz\AppData\Roaming\OpenCandy C:\Users\grzegorz\AppData\Roaming\SaveSense C:\Users\grzegorz\AppData\Roaming\WinZipper RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

1. Usuń używane narzędzia z folderu D:\Instalki\Pliki instalacyjne. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK. To nadal sfera spekulacji. Po prostu oprogramowanie zabezpieczające jest inwazyjne i przy notowanych spadkach wydajności / dłuższym starcie jest pierwszym tropem do sprawdzenia. Test ma polegać na tymczasowej deinstalacji daneo programu i sprawdzenie jak działa system pred jakąkolwiek instalacją innego antywirusa. Nie, to nie jest ten typ emulacji o który tu chodzi. .

Tradycyjne kroki końcowe: 1. Usuń używane narzędzia z E:\Pobrane i popraw via DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. Jeśli nadal są jakieś problemy, to już kontynuacja w dziale Hardware, o ile jest taka potrzeba. .

Nawet po resecie przeglądarki? Sprawdź czy coś pomoże zastosowanie narzędzia Google Software removal tool (również wdraża reset ustawień). .

W podanych raportach brak oznak infekcji, ale mam pytanie: czy to rosyjskie proxy w Firefox jest celowym ustawieniem? Przeklej z dziennika ESET w czym tytułowe zagrożenie zostało wykryte (w jakiej ścieżce dostępu), bo sama nazwa nie świadczy o niczym i nie może być użyta do jednoznacznej identyfikacji. PS. Tylko drobniutka kosmetyka do wykonania. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\48265782.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\53364022.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\95676125.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\96126848.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\99585893.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\48265782.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\53364022.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\95676125.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\96126848.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\99585893.sys => ""="Driver" S3 amdiox86; system32\DRIVERS\amdiox86.sys [X] U3 DfSdkS; No ImagePath C:\ProgramData\TEMP CMD: sc config "Mobile Partner. RunOuc" start= demand CMD: type C:\Users\DG\AppData\Roaming\Mozilla\Firefox\Profiles\oldx53dy.default\user.js EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Na temat używania ComboFix: KLIK. Log już zostaw by było wiadome co robił. Dostosuj się do zasad działu: KLIK. - Dostarcz obowiązkowe tu logi z FRST, OTL i GMER. - Przeklej z dziennika ESET w czym wykrył zagrożenie (konkretna ścieżka dostępu).

Brakuje obowiązkowego GMER. Przed jego uruchomieniem należy się pozbyć sterownika SPTD od emulacji napędów wirtualnych. Proszę o dostarczenie konkretów (raportów) co było usuwane, włącznie z logami z folderu C:\AdwCleaner. Sprawdź czy wniesie coś do sprawy deinstalacja Microsoft Security Essentials. Czekam jeszcze na ten GMER, ale póki co to tu nie widać żadnej czynnej infekcji, tylko szczątki (nieaktywne) w mapowaniu MountPoints2 (historia podpinania przenośnych USB), co nie ma żadnego związku z objawami. Na razie do usunięcia tylko puste wpisy / szczątki po programach: 1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz po kolei odpadkowe wpisy antywirusów ArcaVir Prerequistes, AVSDK5 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {3657F346-C05A-4948-A21D-163F2C89AEC9} - System32\Tasks\DriverDoc_UPDATES => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: {8B564BB2-4313-452E-AA08-1FAED19592F0} - System32\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE Task: {95383781-7513-41DB-B985-6E991DC27B8F} - System32\Tasks\ParetoLogic Update Version2 => C:\Program Files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe Task: {B52F4B11-00AF-4ADB-9992-0DCA5E049FF0} - System32\Tasks\DriverDocRunAtStartup => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: {E5FC41AC-8F94-45AC-A1FF-D97891FC4B3D} - System32\Tasks\ParetoLogic Registration => Rundll32.exe "C:\Program Files\Common Files\ParetoLogic\UUS2\UUS.dll" RunUns Task: C:\Windows\Tasks\DriverDoc_UPDATES.job => C:\Program Files\DriverDoc\Solvusoftdd.exe Task: C:\Windows\Tasks\ParetoLogic Registration.job => C:\Program Files\Common Files\ParetoLogic\UUS2\UUS.dll Task: C:\Windows\Tasks\ParetoLogic Update Version2.job => C:\Program Files\Common Files\ParetoLogic\UUS2\Pareto_Update.exe Task: C:\Windows\Tasks\Sprawdź aktualizacje paska narzędzi Windows Live Toolbar.job => C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE S1 bcazqvnc; \??\C:\Windows\system32\drivers\bcazqvnc.sys [X] S2 eamonm; system32\DRIVERS\eamonm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 MSICDSetup; \??\D:\CDriver.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. CHR HKLM\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\serach.crx [] CHR HKLM\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Program Files\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\Temp C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\OpenOffice.org 3.1.lnk.Startup C:\Windows\system32\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABConfSV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ABMainSV" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ArcaRemoteService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVBackup" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVTasks2" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AVUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vseamps" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vsedsps" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vseqrts" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\vToolbarUpdater10.2.0" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Jurek^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.1.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MDS_Menu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Olympus ib" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pareto_Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickPhrase" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage Search Scope Monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RadioRage_4j Browser Plugin Loader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_dec12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

Uwagi wstępne: - Adware nabyte poprzez nieuwagę, instalator sponsorowany śmieciami lub "downloader portalowy": KLIK. Przykładowo u Ciebie na dysku widać wiele plików "Asystenta pobierania" dobrychprogramów.pl. - Zawsze zaczyna się od poprawnej deinstalacji adware via Panel sterowania, następnie powtórzenie akcji w menedżerach rozszerzeń przeglądarek, dopiero po tym można użyć AdwCleaner i inne automaty. Odwrotna kolejność ma skutki uboczne: jako że automaty nie prowadzą deinstalacji tylko na chama usuwają wpisy, mogą pozostać wejścia, które normalnie usunęłaby deinstalacja. - W systemie nadal jest czynne adware (niejaki FastPlayer, sterownik webinstrNew.sys, Harmonogram zadań wytapetowany). Poza tym, w tle działa wątpliwy program YAC (Yet Another Cleaner): KLIK. To nie jedyny wątpliwy skaner, do którego się przymierzałeś, na dysku są także ślady lewego SpyHunter. I przypuszczalnie sterowniki adware i/lub YAC są powodem problemów z siecią i pobieraniem. Nie wiem skąd Ci się wzięło podejrzenie Sality... - Przeglądarki Google Chrome i Firefox wyglądają na uszkodzone lub niepoprawnie odinstalowane (brak wejść na liście zainstalowanych), będę usuwać więc ich foldery z dysku, w których notabene jest nadal adware. Nie jest znana zawartość przeglądarki Opera (uruchomiona w procesach), gdyż żadne z narzędzi jej nie skanuje, ale dane o niej pobiorę ręcznie. Przeprowadź następujące działania: 1. Na początek deinstalacje: - Tradycyjnie poprzez Panel sterowania odinstaluj: FastPlayer, McAfee Security Scan Plus, videos_MediaPlayers_v1.2+. Jeśli nie będzie widać którejś pozycji lub zwróci ona błąd, nie szkodzi. Kontynuuj: - YAC tam nie występuje, uruchom więc ręcznie plik C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe (prawoklik na plik i Uruchom jako Administrator) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {052FED14-726E-46AD-A7B4-62AD6CC2BC98} - System32\Tasks\HM => C:\Users\Ninos\AppData\Roaming\HM.exe [2014-10-08] (Object Browser) Task: {4549C3A4-2C45-4F55-A546-15862D8B91D2} - System32\Tasks\SPBIW_UpdateTask_Time_313135343432383234392d5b5b4a346c4123452a5a556c => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {58EE346C-1BF3-483F-9CE6-93AD22FC9692} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-1.job => C:\Program Files (x86)\Senses\Senses-codedownloader.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-11.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-11.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-2.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-2.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-3.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-3.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-4.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-4.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\2cf83796-610d-4054-8380-e436a0e97e3a-5_user.job => C:\Program Files (x86)\Senses\2cf83796-610d-4054-8380-e436a0e97e3a-5.exe Task: C:\WINDOWS\Tasks\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.job => C:\Program Files (x86)\videos_MediaPlayers_v1.2+\9c550b45-9ada-4e6a-9f45-e1e98b039007-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-11.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-2.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-4.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\a1773d6c-e114-415b-b8fe-3b2acc170a32-5_user.job => C:\Program Files (x86)\iWebar\a1773d6c-e114-415b-b8fe-3b2acc170a32-5.exe Task: C:\WINDOWS\Tasks\SpeedChecker Update.job => C:\Program Files (x86)\ver5SpeedChecker\i1SpeedCheckeru59.exe R2 FastPlayerUpdaterService; C:\Program Files (x86)\FastPlayer\FastPlayerUpdaterService.exe [11776 2014-09-30] () [File not signed] R2 webinstrNew; C:\WINDOWS\system32\Drivers\webinstrNew.sys [56504 2014-10-16] (Corsica) S1 {29302da5-1178-40ac-a178-4cb57ebcc501}Gw64; system32\drivers\{29302da5-1178-40ac-a178-4cb57ebcc501}Gw64.sys [X] S1 {a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64; system32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys [X] S3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 SmbDrvI; \SystemRoot\system32\DRIVERS\Smb_driver_Intel.sys [X] S2 SPDRIVER_1.37.0.1359; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1359\jsdrv.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\...\Policies\Explorer: [NoControlPanel] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141025 BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplayBHO.dll No File C:\Program Files\plugins.dat C:\Program Files\McAfee Security Scan C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\FastPlayer C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\videos_MediaPlayers_v1.2+ C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\ProgramData\EmailNotifier C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Temp C:\ProgramData\Thunder Network C:\ProgramData\Xunlei C:\ProgramData\Microsoft\Windows\Start Menu\YAC.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FastPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk.1413378507.old C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\Gäst\Desktop\FastPlayer.lnk C:\Users\Ninos\AppData\Local\com C:\Users\Ninos\AppData\Local\CrashRpt C:\Users\Ninos\AppData\Local\fastplayer C:\Users\Ninos\AppData\Local\Google\Chrome C:\Users\Ninos\AppData\Local\Mozilla C:\Users\Ninos\AppData\Roaming\*.exe C:\Users\Ninos\AppData\Roaming\eCyber C:\Users\Ninos\AppData\Roaming\Elex-tech C:\Users\Ninos\AppData\Roaming\Mozilla C:\Users\Ninos\Desktop\FastPlayer.lnk C:\Users\Ninos\Desktop\Wyczyść rejestr za darmo!.lnk C:\Users\Ninos\Downloads\*(*)-dp* C:\Users\Ninos\Downloads\*_www.INSTALKI.pl* C:\Users\Ninos\Downloads\9886749d79024d39ba156d4db172e2e2 C:\Users\Ninos\Downloads\ComboFix*.exe C:\Users\Ninos\Downloads\install_flash_player.exe C:\Users\Ninos\Downloads\ReimageRepair.exe C:\Users\Ninos\Downloads\Setup.exe C:\Users\Ninos\Downloads\SpyHunter-installer*.exe C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk C:\Users\Public\Desktop\Wznów Instalację Reimage Repair.lnk C:\Users\Public\Desktop\YAC.lnk C:\Users\Public\Documents\YTAHelper C:\WINDOWS\system32\Drivers\webinstrNew.sys C:\WINDOWS\system32\log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\FastPlayer /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\videos_MediaPlayers_v1.2+ /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "C:\Windows\system32\nvinitx.dll" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Ninos\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Ninos\AppData\Local CMD: dir /a C:\Users\Ninos\AppData\LocalLow CMD: dir /a C:\Users\Ninos\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. .

Ten wpis nadal jest, ale już wiem czemu się nie skasował, pewnie kwestia formatowania przekształconego przez forum (znaczek "R" w nawiasie przekonwertowany w poście na znak zastrzeżony ®). Finalizując sprawy: 1. Siedząc na koncie Mateusz Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > przejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Z prawokliku skasuj wartość Windows® Statistics Service kierującą do WinSTAT.exe. 2. Usuń używane narzędzia za pomocą DelFix. 3. Na wszelki wypadek zmieniłabym hasła logowania do banku. .

Z przyklejonej instrukcji: Akcja pomyślnie wykonana, ale to nie koniec działań. Odtworzyły się zadania typu AT* w Harmonogramie. Ponadto, Robak Brontok tworzy w wielu folderach falsyfikaty, czyli pliki EXE mające ikonkę folderu i w nazwie symujące folder w którym zostały utworzone (np. C:\Users\Users.exe). Przypadkowe uruchomienie takiej podróbki odtworzy infekcję Brontok. Log FRST jest ograniczony i tylko nietóre z takich plików były widoczne, z pewnością jest więcej i musi być zrobiony ogólny skan antywirusowy. Na razie jednak dokończenie tego co widać: 1. Otwórz Notatnik i wklej w nim: C:\Users\Data KJ.exe C:\Users\Users.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\Templates.exe C:\windows\Tasks\At*.job C:\windows\System32\Tasks\At* RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\KJ\Desktop\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W FRST uruchom Scan, zaznacz pole Addition i tylko ten log mi przedstaw. Dołącz też plik fixlog.txt. .

Co masz na myśli? Obecny log z FRST wykazuje, że oba sterowniki Tages zniknęły z systemu. Nie ma już tych pozycji: ==================== Drivers (Whitelisted) ==================== S2 atksgt; C:\Windows\System32\DRIVERS\atksgt.sys [278728 2014-10-04] () R2 lirsgt; C:\Windows\System32\DRIVERS\lirsgt.sys [25416 2014-10-04] () Czyszczenie z adware też wykonane i tu już typowe kroki końcowe: 1. Skasuj z Pulpitu folder Old Firefox Data oraz naprawa z "New folder" skąd był uruchamiany FRST. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu, o ile coś powstało (na początku brak punktów): KLIK. .

Tak jest, system zgwałcony przez adware. Metody nabycia: KLIK. Uruchomiłeś jakiś "downloader". Spoza tematu adware jeszcze widać niedawno pobrany "Portable Excel" (nawiasem mówiąc portable to mit, jest tworzony folder "Thinstall"), skan tego czegoś na VirusTotal: KLIK (w karcie dodatkowych szczegółów jest odwołanie do pliku Portable EXCEL 2003 PL._5fantastic.pl_.exe, który jest u Ciebie na dysku). Przeprowadź następujące działania: 1. Na początek deinstalacje adware: - Poprzez tradycyjny Panel sterowania: RandomPrice, WinZipper, YTD Video Downloader 4.8.5 - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals)> Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 fc67e7a0; c:\Program Files (x86)\DeltaFix\DeltaFix.dll [3978752 2014-10-28] () [File not signed] R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S1 dqnalkcg; \??\C:\Windows\system32\drivers\dqnalkcg.sys [X] S1 gtkiqgdu; \??\C:\Windows\system32\drivers\gtkiqgdu.sys [X] S1 nezmxysv; \??\C:\Windows\system32\drivers\nezmxysv.sys [X] S1 rktwjmur; \??\C:\Windows\system32\drivers\rktwjmur.sys [X] S1 wrntpzhx; \??\C:\Windows\system32\drivers\wrntpzhx.sys [X] S1 yauaqdfq; \??\C:\Windows\system32\drivers\yauaqdfq.sys [X] HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Task: {7D279029-D5BD-47B3-BE2A-10F18B71F2C3} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&ts=1393429378&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=181&d=20140924 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391856833&from=exp&uid=ST1000LM024XHN-M101MBB_S2U5J9FD416834&q={searchTerms} URLSearchHook: HKLM-x32 - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1QzutByE0F0DyDtBzy0EtD0BzzyBzy0DtDyDtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=824961340&ir= SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.x64.dll () BHO-x32: RandomPrice -> {e825a11c-db79-4872-87d2-f14763c1e324} -> C:\ProgramData\RandomPrice\2B6Fp3lvComr6N.dll () FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\tn6mwzn8.default\extensions\shortcutff@gmail.com C:\Program Files (x86)\Adblocker C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\WinZipper C:\ProgramData\d195380caa514720 C:\ProgramData\RandomPrice C:\ProgramData\Trusted Publisher C:\ProgramData\WPM C:\Users\HomeGroupUser$ C:\Users\Administrator C:\Users\Gość C:\Users\Admin\AppData\Local\17712 C:\Users\Admin\AppData\Local\27683 C:\Users\Admin\AppData\Local\Chromatic Browser C:\Users\Admin\AppData\Local\Comodo C:\Users\Admin\AppData\Local\genienext C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\Torch C:\Users\Admin\AppData\Roaming\337Games C:\Users\Admin\AppData\Roaming\Babylon C:\Users\Admin\AppData\Roaming\Bonanza C:\Users\Admin\AppData\Roaming\DVDVideoSoft C:\Users\Admin\AppData\Roaming\GoforFiles C:\Users\Admin\AppData\Roaming\Systweak C:\Users\Admin\AppData\Roaming\Thinstall C:\Users\Admin\AppData\Roaming\WinZipper C:\Users\Admin\Downloads\django-unchained-eng-4770000.exe C:\Users\Admin\Downloads\Portable EXCEL 2003 PL._5fantastic.pl_.exe C:\Users\Admin\Downloads\setup.exe C:\Windows\Base64.dll C:\Windows\clfct.dll C:\Windows\jimglib.dll C:\Windows\sassr.dat C:\Windows\sysk32.dll C:\Windows\SysWow64\hfpapi.dll C:\Windows\SysWow64\sinvfct.dll C:\awh*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{75B1EA5E-B09C-B960-322E-21187775557D}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{016DC87C-94D1-045D-B108-53564C412C2B}" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Admin\IGC Folder: C:\Users\Admin\AppData\Roaming\IGC Folder: C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Czy coś usuwałeś ręcznie przed wykonaniem skryptu FRST, a może być używany msconfig? Ta odpadkowa wartość kierująca do WinSTAT.exe nie została znaleziona. Na wszelki wypadek zrób mi jeszcze raz log FRST z poziomu konta Mateusz (bez Addition i Shortcut).

Zadanie wykonane. Możesz już usunąć plik C:\DelFix.txt. Temat rozwiązany. Zamykam.

W angielskim Firefox: menu Help > Troubleshooting Information > Reset Firefox. A jeśli ma być na stałe polski Firefox, nadpisz obecną instalację polskim instalatorem Firefox: KLIK.

Paragon16 nie tak szybko. MBAM nie jest programem antywirusowym i nie leczy wykonywalnych, więc sprawa infekcji Jeefo to tu raczej nadal aktualna. Poza tym, skoro coś usuwałeś, to proszę o: nowe logi z FRST wykazujące zmiany (przypominam: proszę pobierz najnowszą wersję programu) + pokazanie raportu z MBAM co usuwał.

OK, czyli jest tu jasna sprawa. To ustawienie nowej karty nie występuje na nowszych wersjach Internet Explorer. Ustawienie zostanie przywrócone do domyślnej postaci. Jedziemy z kolejnymi poprawkami: 1. Kolejne skrypty fixlist.txt do FRST: ----> Pierwszy: C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web RemoveDirectory: C:\Documents and Settings\Asus\Doctor Web RemoveDirectory: C:\Documents and Settings\Asus\Pulpit\Stare dane programu Firefox Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f CMD: sc config Eventlog start= disabled Reboot: ----> Drugi: C:\WINDOWS\system32\config\Doctor Web.evt RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Jak poprzednio, po kolei uruchom FRST i kliknij w Fix. Zaprezentuj oba wynikowe pliki fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Czy wykonałeś Fix? Typowy VBKlip opiera się na pojedynczym zadaniu startującym via Harmonogram. Log z FRST przedstawi go w ten sposób: ==================== Scheduled Tasks (whitelisted) ============= Task: {D23B4F95-12F2-413D-A3A9-C55814ED46D3} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-15] (Microsoft® Corporation) Task: {3E60B94C-D9C5-44DC-8F4A-785A3D92D2A3} - System32\Tasks\SYSTEM => C:\ProgramData\wms.exe [2014-10-12] (Microsoft® Corporation) U Ciebie występował inny bardziej rozbudowany wariant uruchamiający się wielokrotnie na różne sposoby. Nie jestem pewna co to za wersja ten "WinSTAT".

Poprawki: 1. Otwórz Notatnik i wklej w nim: S2 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [X] C:\ProgramData\Babylon C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\install_clap C:\ProgramData\PDF Architect 2 C:\ProgramData\Temp C:\Users\Tomek\AppData\Local\Adobe C:\Users\Tomek\AppData\Local\avgchrome C:\Users\Tomek\AppData\Local\cache C:\Users\Tomek\AppData\Local\ChomikBox C:\Users\Tomek\AppData\Local\CrashDumps C:\Users\Tomek\AppData\Local\DirectDownloader C:\Users\Tomek\AppData\Local\ESET C:\Users\Tomek\AppData\Local\onlysearch C:\Users\Tomek\AppData\Local\Pay-By-Ads C:\Users\Tomek\AppData\LocalLow\Delta C:\Users\Tomek\AppData\LocalLow\Incredibar.com C:\Users\Tomek\AppData\LocalLow\searchgol C:\Users\Tomek\AppData\LocalLow\Temp C:\Users\Tomek\AppData\LocalLow\Toolbar4 C:\Users\Tomek\AppData\Roaming\Adobe C:\Users\Tomek\AppData\Roaming\ESET C:\Users\Tomek\AppData\Roaming\Gadu-Gadu 10 C:\Users\Tomek\AppData\Roaming\PDF Architect 2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Fix pomyślnie przetworzony. Na koncie Mateusz również są nieusunięte szczątki malware WinSTAT. Poprawki będąc zalogowanym na koncie Mateusz. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-606281877-1479866930-3929170589-1003\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe S2 jhi_service; "C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe" [X] RemoveDirectory: C:\Users\Mateusz\AppData\Roaming\tor RemoveDirectory: C:\Users\Mateusz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Tomek\AppData\Roaming\tor RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. I trzeba się zastanowić jakie było źródło tego malware. Prawdopodobnie pobrałeś coś co miało doczepionego backdoora. Czy jesteś w stanie powiązać wystąpienie objawów ze ściągnięciem czegoś konkretnego? .

Dodam, że były do usunięcia określone puste wpisy (w Harmonogramie oraz IE) oraz błąd w komendzie i się nie wykonała: [resetshosts].

Wszystko wykonane poprawnie. Możemy kończyć: 1. Mała poprawka. Otwórz Notatnik i wklej w nim: FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń C:\Users\komp\Downloads\programy do robienia logów i zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starą dziurawą wersję Java™ 6 Update 20. .

Potwierdzam wykonanie zadania. Log C:\DelFix.txt możesz skasować z dysku. Temat rozwiązany. Zamykam.

Wykonane. Kończymy: 1. Usuń używane narzędzia za pomocą DelFix. GMER dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Proponuję dorzucić jeszcze darmową wersję Malwarebytes Anti-Exploit.