picasso

OK, czyli jest tu jasna sprawa. To ustawienie nowej karty nie występuje na nowszych wersjach Internet Explorer. Ustawienie zostanie przywrócone do domyślnej postaci. Jedziemy z kolejnymi poprawkami: 1. Kolejne skrypty fixlist.txt do FRST: ----> Pierwszy: C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web RemoveDirectory: C:\Documents and Settings\Asus\Doctor Web RemoveDirectory: C:\Documents and Settings\Asus\Pulpit\Stare dane programu Firefox Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f CMD: sc config Eventlog start= disabled Reboot: ----> Drugi: C:\WINDOWS\system32\config\Doctor Web.evt RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= auto Reboot: Jak poprzednio, po kolei uruchom FRST i kliknij w Fix. Zaprezentuj oba wynikowe pliki fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Czy wykonałeś Fix? Typowy VBKlip opiera się na pojedynczym zadaniu startującym via Harmonogram. Log z FRST przedstawi go w ten sposób: ==================== Scheduled Tasks (whitelisted) ============= Task: {D23B4F95-12F2-413D-A3A9-C55814ED46D3} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-15] (Microsoft® Corporation) Task: {3E60B94C-D9C5-44DC-8F4A-785A3D92D2A3} - System32\Tasks\SYSTEM => C:\ProgramData\wms.exe [2014-10-12] (Microsoft® Corporation) U Ciebie występował inny bardziej rozbudowany wariant uruchamiający się wielokrotnie na różne sposoby. Nie jestem pewna co to za wersja ten "WinSTAT".

Poprawki: 1. Otwórz Notatnik i wklej w nim: S2 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [X] C:\ProgramData\Babylon C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\install_clap C:\ProgramData\PDF Architect 2 C:\ProgramData\Temp C:\Users\Tomek\AppData\Local\Adobe C:\Users\Tomek\AppData\Local\avgchrome C:\Users\Tomek\AppData\Local\cache C:\Users\Tomek\AppData\Local\ChomikBox C:\Users\Tomek\AppData\Local\CrashDumps C:\Users\Tomek\AppData\Local\DirectDownloader C:\Users\Tomek\AppData\Local\ESET C:\Users\Tomek\AppData\Local\onlysearch C:\Users\Tomek\AppData\Local\Pay-By-Ads C:\Users\Tomek\AppData\LocalLow\Delta C:\Users\Tomek\AppData\LocalLow\Incredibar.com C:\Users\Tomek\AppData\LocalLow\searchgol C:\Users\Tomek\AppData\LocalLow\Temp C:\Users\Tomek\AppData\LocalLow\Toolbar4 C:\Users\Tomek\AppData\Roaming\Adobe C:\Users\Tomek\AppData\Roaming\ESET C:\Users\Tomek\AppData\Roaming\Gadu-Gadu 10 C:\Users\Tomek\AppData\Roaming\PDF Architect 2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Fix pomyślnie przetworzony. Na koncie Mateusz również są nieusunięte szczątki malware WinSTAT. Poprawki będąc zalogowanym na koncie Mateusz. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-606281877-1479866930-3929170589-1003\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe S2 jhi_service; "C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe" [X] RemoveDirectory: C:\Users\Mateusz\AppData\Roaming\tor RemoveDirectory: C:\Users\Mateusz\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Tomek\AppData\Roaming\tor RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. I trzeba się zastanowić jakie było źródło tego malware. Prawdopodobnie pobrałeś coś co miało doczepionego backdoora. Czy jesteś w stanie powiązać wystąpienie objawów ze ściągnięciem czegoś konkretnego? .

Dodam, że były do usunięcia określone puste wpisy (w Harmonogramie oraz IE) oraz błąd w komendzie i się nie wykonała: [resetshosts].

Wszystko wykonane poprawnie. Możemy kończyć: 1. Mała poprawka. Otwórz Notatnik i wklej w nim: FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń C:\Users\komp\Downloads\programy do robienia logów i zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starą dziurawą wersję Java™ 6 Update 20. .

Potwierdzam wykonanie zadania. Log C:\DelFix.txt możesz skasować z dysku. Temat rozwiązany. Zamykam.

Wykonane. Kończymy: 1. Usuń używane narzędzia za pomocą DelFix. GMER dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Proponuję dorzucić jeszcze darmową wersję Malwarebytes Anti-Exploit.

Wszystko zrobione. Programy antywirusowe zostały odblokowane. Log z FSS pokazuje jeszcze, że Windows Update jest zdeaktywowane. Drobne poprawki. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] CMD: sc config wuauserv start= delayed-auto DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. .

W systemie są oznaki infekcji, a programów antywirusowych nie da się uruchomić, gdyż infekcja wprowadziła blokadę na poziomie polityk oprogramowania. Przypuszczalnie eksploit np. Java był przyczyną infekcji. Przeprowadź następujące operacje: 1. Na początek odinstaluj jeden z antywirusów, gdyż jest ich za dużo: AVG 2015 lub Avira Free Antivirus. Dodatkowo jeszcze odinstaluj starszą wersję Java 7 Update 60. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AlternateDataStreams: C:\Windows:9EE977B70241662B HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Program Files (x86)\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Avira HKLM Group Policy restriction on software: C:\Program Files (x86)\Avira HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software Task: {3FE03D29-0B8E-4C07-A4F8-7726ECC8262F} - \GPUP No Task File Task: {69C128BF-4DBC-4980-BC20-FD1FC06F078D} - System32\Tasks\EnergoTech Update => C:\ProgramData\EnergoTech\update12.exe Task: {F8F1D53E-5473-4F01-BF28-4D0358D11884} - System32\Tasks\Chrome Launcher => C:\Program Files (x86)\Techsnab\Chrome Launcher\chrome-links.exe Startup: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip () ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File SearchScopes: HKCU - {52970FDE-1250-4AB9-A21B-6D2A4ECED1CB} URL = https://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=282369&p={searchTerms} FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo C:\ProgramData\*.log C:\ProgramData\YiggUhuy C:\Users\Piotrek\AppData\Local\*.log C:\Users\Piotrek\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Piotrek\AppData\Local\kuphoqej C:\Users\Piotrek\Desktop\Programy\avast! Free Antivirus.lnk C:\Users\Piotrek\Desktop\Programy\Avira.lnk C:\Users\Piotrek\Desktop\Programy\Comodo Dragon.lnk C:\Users\Piotrek\Desktop\Programy\COMODO Firewall.lnk C:\Users\Piotrek\Desktop\Programy\GeekBuddy.lnk C:\Windows\avast5.ini C:\Windows\pss\Start GeekBuddy.lnk.CommonStartup C:\Windows\system32\log C:\Windows\SysWow64\avast5.ini RemoveDirectory: C:\Users\Piotrek\Downloads\FRST-OlderVersion Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetWorx" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivDogService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchProtection" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. .

Usuwanie via Fix oraz AdwCleaner wykonane pomyślnie. Zanim zadam czynności końcowe: Jak mówiłam, program jest uszkodzony (wygląda na częściowo odinstalowany), toteż zostaje usunięcie wpisów rejestru wykrytych przez Revo. Jednak przed tą akcją na wszelki wypadek utwórz ręcznie punkt Przywracania systemu.

Wirtualny napęd a sterownik do obsługi takowych to nie są tożsame rzeczy. I w ogłoszeniu jest przecież narzędzie SPTDinst, które służy do detekcji obecności tego sterownika. Ten sterownik SPTD (zresztą bardzo stary) i tak już wyłączyłam w skrypcie FRST przygotowując go do całkowitego usunięcia, co zostanie przeprowadzone w kolejnym skrypcie. Kolene poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-11] (Duplex Secure Ltd.) SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File C:\Program Files (x86)\DownVision C:\Program Files (x86)\Mozilla Firefox.bak C:\Program Files (x86)\My Company Name C:\ProgramData\McAfee C:\ProgramData\Oracle C:\ProgramData\RegClean C:\ProgramData\Sun C:\ProgramData\Symantec C:\Users\Grzegorz\AppData\Local\APN C:\Users\Grzegorz\AppData\Local\Babylon C:\Users\Grzegorz\AppData\Local\cache C:\Users\Grzegorz\AppData\Local\Conduit C:\Users\Grzegorz\AppData\Local\CrashDumps C:\Users\Grzegorz\AppData\Local\DVDVideoSoft_Ltd C:\Users\Grzegorz\AppData\Local\genienext C:\Users\Grzegorz\AppData\Local\Macromedia C:\Users\Grzegorz\AppData\Local\Mobogenie C:\Users\Grzegorz\AppData\Local\WMTools Downloaded Files C:\Users\Grzegorz\AppData\LocalLow\Conduit C:\Users\Grzegorz\AppData\LocalLow\DVDVideoSoftTB C:\Users\Grzegorz\AppData\LocalLow\FunWebProducts C:\Users\Grzegorz\AppData\LocalLow\Macromedia C:\Users\Grzegorz\AppData\LocalLow\MyWebSearch C:\Users\Grzegorz\AppData\LocalLow\PriceGong C:\Users\Grzegorz\AppData\LocalLow\Softonic C:\Users\Grzegorz\AppData\LocalLow\Sun C:\Users\Grzegorz\AppData\LocalLow\Temp C:\Users\Grzegorz\AppData\LocalLow\Toolbar4 C:\Users\Grzegorz\AppData\Roaming\Download Manager C:\Users\Grzegorz\Downloads\FreeScreenVideoRecorder.exe C:\Windows\System32\Drivers\sptd.sys RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Grzegorz\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. .

Zajmę się tym w skrypcie FRST (usunięcie folderu Kosza z dysku). W eksploratorze Windows > Widok > Opcje > Zmień opcje folderów i wyszukiwania > Widok > Użyj pól wyboru do zaznaczania elementów. Czy chodzi Ci o to, że klikasz na ekranie Startu w te pozycje i nie da się ich otworzyć? W Dzienniku zdarzeń powtarza się błąd procesu związanego z funkcjonowaniem aplikacji Modern UI: Application errors: ================== Error: (10/29/2014 03:50:33 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: wwahost.exe, wersja: 6.2.9200.16420, sygnatura czasowa: 0x505a90d6 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.2.9200.16864, sygnatura czasowa: 0x531d2be6 Kod wyjątku: 0x00000004 Przesunięcie błędu: 0x00010f22 Identyfikator procesu powodującego błąd: 0xc80 Godzina uruchomienia aplikacji powodującej błąd: 0xwwahost.exe0 Ścieżka aplikacji powodującej błąd: wwahost.exe1 Ścieżka modułu powodującego błąd: wwahost.exe2 Identyfikator raportu: wwahost.exe3 Pełna nazwa pakietu powodującego błąd: wwahost.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: wwahost.exe5 Wstępnie sprawdź czy coś pomoże zastosowanie diagnostyka Apps troubleshooter. Prawie wszystko zrobione. Firefoxa zamiast zresetować odinstalowałeś, tylko że przy deinstalacji nie zaznaczyłeś, by usuwać dane przeglądarki i w konsekwencji i tak cały profil Firefox z adware nadal jest na dysku. Wymagane poprawki: 1. W związku z tym, że odinstalowałeś Firefox, odinstaluj także Adobe Flash Player 15 Plugin. To wtyczka dla Firefox/Opera. Google Chrome ma własną wbudowaną. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\SupTab C:\Program Files (x86)\WinZipper C:\ProgramData\IePluginService C:\ProgramData\Norton C:\Users\grzegorz\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\grzegorz\AppData\Local\Mobogenie C:\Users\grzegorz\AppData\Local\Mozilla C:\Users\grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\grzegorz\AppData\Roaming\Mozilla C:\Users\grzegorz\AppData\Roaming\PerformerSoft C:\Users\grzegorz\AppData\Roaming\systweak RemoveDirectory: C:\$RECYCLE.BIN Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SweetIM /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{953AA732-9AFB-49C9-84A4-7F96CA0A08DA} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\grzegorz\AppData\Local CMD: dir /a C:\Users\grzegorz\AppData\LocalLow CMD: dir /a C:\Users\grzegorz\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Na wszelki wypadek w Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

delta12345, proszę przeczytaj zasady działu: KLIK. OTL to przestarzałe narzędzie, logi sprawdzane tylko pobocznie, i tak niepełne (brak OTL Extras). Obowiązkowe są raporty z FRST i GMER. Uzupełnij.

Poprzednie akcje wykonane, ale .... pojawiło się nowe adware (czynna usługa maintainer.exe). Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc2.04.9173792; C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2014-10-29] () AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll File Not Found Task: {09F1EAB7-AFD0-4ED8-9AB8-F7B246116262} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {A76AF9F4-4BFA-474D-9594-CB9760134E73} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: {D7AE03D5-6A10-4EE5-BBD0-859BA5480AF8} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe [2013-05-28] (Adobe Systems Incorporated) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe CHR Extension: (SweetPacks Chrome Extension) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj [2013-10-05] SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\NetCrawl C:\Program Files (x86)\Opera C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\ProgramData\Adobe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codec Pack C:\Users\Tomek\AppData\Local\Opera C:\Users\Tomek\AppData\Roaming\Opera C:\Users\Tomek\AppData\Roaming\xplugin C:\Windows\SysWOW64\FlashPlayerUpdateService.exe C:\Windows\SysWOW64\Macromed Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\1778669968.portal.qtrax.com /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tomek\AppData\Local CMD: dir /a C:\Users\Tomek\AppData\LocalLow CMD: dir /a C:\Users\Tomek\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. A ja widzę Twój avatar (w temacie i w profilu) i nic nie wskazuje, by zniknął... Czy także wyczyściłeś cache? .

W raportach nie widać nic podejrzanego. 1. Doczyść tylko drobne rzeczy: ----> Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. ----> Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM-x32 - DefaultScope value is missing. HKU\S-1-5-21-1137575165-3099178337-4115244329-1000\...\Run: [] => [X] R2 HPSLPSVC; C:\Users\IZA\AppData\Local\Temp\7zS61B4\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [File not signed] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Dostarczone logi FRST z poziomu konta IZA, jest tu jeszcze drugie konto nasula. Na wszelki wypadek zaloguj się na to konto poprzez pełny reset komputera (nie przez Wyloguj lub Przełącz użytkownika) i zrób nowy log FRST (zaznacz pole Addition, ale nie Shortcut). ========================= Accounts: ========================== Administrator (S-1-5-21-1137575165-3099178337-4115244329-500 - Administrator - Disabled) Gość (S-1-5-21-1137575165-3099178337-4115244329-501 - Limited - Disabled) HomeGroupUser$ (S-1-5-21-1137575165-3099178337-4115244329-1002 - Limited - Enabled) IZA (S-1-5-21-1137575165-3099178337-4115244329-1000 - Administrator - Enabled) => C:\Users\IZA nasula (S-1-5-21-1137575165-3099178337-4115244329-1003 - Administrator - Enabled) => C:\Users\nasula To nie wygląda na skutki aktywności malware. Ikona znika po resecie, bo pewnie przestają działać usługi związane z Grupą domową, a później coś te usługi uaktywnia. By ikona przetała się pojawiać, należy zdeaktywować komponenty Grupy domowej, o ile nie korzystasz z tego (nie współdzielisz plików i drukarek w domowej sieci): 1. Otwórz eksplorator Windows w widoku Mój komputer. W bocznym panelu nawigacji powinna być pozycja Grupa domowa. Prawoklik na ten element > opcja Zmień ustawienia grupy domowej > Opuść grupę domową. Opcja może być niedostępna, jeśli komputer nie był wcześniej przyłączony do żadnej grupy tego typu. Następnie: 2. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście wyszukaj uługi Dostawca grupy domowej + Usługa nasłuchująca grup domowych, dwuklik na każdą, zatrzymaj je (o ile uruchomione) oraz Typ uruchomienia przestaw z Ręczny na Wyłączony. .

System nie jest zainfekowany per se, tylko nieczynne odpadki adware. Tu jest infekcja routera. Ten pierwszy adres IP jest szkodliwy, ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 ShortcutWithArgument: C:\Users\komp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.portaldosites.com/?utm_source=b&utm_medium=prs&from=prs&uid=TOSHIBAXMK6475GSX_61HJF96ISXX61HJF96IS&ts=1364418673 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {CACE5160-018A-4ECC-AFC4-CB782A04A6B1} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {D299E8CB-0686-46BD-9ABC-ED46A64931B4} - System32\Tasks\{F1EDAB2B-FA9D-4A42-9A0A-1D69801CCA03} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsProgressBar S3 cpuz134; \??\C:\Program Files (x86)\CPUID\PC Wizard 2010\pcwiz_x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\Program Files (x86)\mozilla firefox\plugins C:\Users\komp\AppData\Local\Temp*.html Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\desksvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1576D38B-6EC4-41F9-A892-529D2A0FD3D0} /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Proszę dostarcz te obowiązkowe logi, bo na razie nic nie jestem w stanie stwierdzić. A DAEMON Tools i podobne będziesz mógł potem zainstalować, ale to dopiero gdy sprawdzę system na podstawie wymaganych raportów. Raporty wstaw jako załączniki forum.

W raportach w ogóle nie widać przekierowania nowej karty IE. Zrób dodatkowe szukanie rejestru. Uruchom FRST i w polu Search wklep frazę dsrlte, klik w Search Registry i dostarcz wynikowy log. .

Tu było jawne malware manipulujące na kontach bankowych, udające "statystyki Microsoftu". Na tamtym forum temat zaczynał się z czynnym malware uruchamianym z wielokrotnych kopii via Autostart oraz Harmonogram zadań: ==================== Processes (Whitelisted) ================= () C:\ProgramData\WinSTAT\SYS.exe () C:\ProgramData\WinSTAT\data\winhost32.exe (Microsoft® Corporation) C:\ProgramData\WinSTAT\WinSTAT.exe (Microsoft® Corporation) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe ==================== Registry (Whitelisted) ================== HKLM-x32\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation) HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation) Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation) Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation) ==================== Scheduled Tasks (whitelisted) ============= Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe [2014-09-07] (Microsoft® Corporation) Nie zostały te wpisy zauważone, dopiero ESET wychwycił komponenty "WinSTAT" i skasował szkodnika częściowo. Obecnie nadal jest w systemie to szkodliwe zadanie "WinSTAT", tylko już bez pliku (ale cały folder nadal na dysku): ==================== Scheduled Tasks (whitelisted) ============= Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe Sprawa poboczna: Ten skrypt nie miał związku z malware omawianym powyżej. Zresztą skrypt i tak w ogóle nie został przetworzony (nie podałeś wynikowego fixlog.txt, ale widać, że nic nie zostało zrobione): dopiero MBAM dokasował tę wyszukiwarkę adware istartsurf.xml z Firefox, zaś Tempy nadal nie wyczyszczone. I tu nie koniec czyszczenia z adware: na koncie Tomek w Firefox jest nadal adware-przekierowanie nowej karty, zaś na koncie Mateusz skróty LNK przeglądarek są zmodyfikowane. Poprawkowe działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266 ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" BootExecute: autocheck autochk * sdnclean64.exe S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] C:\ProgramData\WinSTAT C:\Windows\DEA314C409294250BC9298E4C105F28D.TMP RemoveDirectory: C:\Users\Administrator Folder: C:\Users\Tomek\AppData\Roaming\tor Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. W systemie są dwa czynne konta: ========================= Accounts: ========================== Mateusz (S-1-5-21-606281877-1479866930-3929170589-1003 - Administrator - Enabled) => C:\Users\Mateusz Tomek (S-1-5-21-606281877-1479866930-3929170589-1000 - Administrator - Enabled) => C:\Users\Tomek Dotychczas były sprawdzane raporty z konta Tomek. Wymagane raporty z obu kont. Po kolei zaloguj się na każde z nich poprzez pełny restart komputera (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi na każdym koncie. Dołącz też plik fixlog.txt. .

OK, klucza rzeczywiście nie ma. Wszystko zrobione, kończymy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. I przeczytaj na co uważać, skąd nie pobierać: KLIK. .

To jest ten sam Fixlog co wcześniej (runda numer 3). Na przyszłość: Fix niekoniecznie może być błyskawiczny, należy cierpliwie czekać. Jak mówiłam, zadania się wykonały i w nowych raportach brak oznak infekcji. Kończymy: 1. Jeszcze dokasowanie folderów usuniętych kont. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\Adusia . ^^ RemoveDirectory: C:\Users\Olusia DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt i to zanim przejdziesz dalej (zostanie skasowany). 2. Usuń ręcznie folder C:\Users\Renia\Desktop\FRST. Zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Poniższe aplikacje do aktualizacji: ==================== Installed Programs ====================== Adobe Reader X (10.1.12) MUI (HKLM\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Java 7 Update 17 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217017FF}) (Version: 7.0.170 - Oracle) Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216027FF}) (Version: 6.0.300 - Oracle) Mozilla Thunderbird 9.0.1 (x86 pl) (HKLM\...\Mozilla Thunderbird 9.0.1 (x86 pl)) (Version: 9.0.1 - Mozilla) Opera Stable 20.0.1387.82 (HKLM\...\Opera 20.0.1387.82) (Version: 20.0.1387.82 - Opera Software ASA)

Te logi AdwCleaner z oznaczeniem "R" usuwam, nie są mi potrzebne, to wyniki z opcji "Szukaj". Prosiłam tylko o raporty z oznaczeniem "S", czyli z opcji "Usuń". Log AdwCleanerS6.txt już wcześniej podałeś, więc też likwiduję. Fix wykonany. Jeszcze na wszelki wypadek podaj mi skan na jeden z kluczy jakoby nie usuniętych (choć w nowym logu brak śladów). Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\windows\DiskDiagnostic\DiskDiagnostic" /s RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

W systemie jest straszne śmietnisko (adware / Bitcoin miner i inne infekcje), a liczba sterowników adware ogłuszająca. System jest też w ogóle nie aktualizowany, działa w nim stary ESET Smart Security z przełomu 2010 / 2011, na dodatek zaprawiony "witaminą". Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3780064 2013-11-18] () R2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [188760 2013-01-29] () [File not signed] R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [2930992 2014-09-17] () R2 Update NetCrawl; C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe [523552 2014-10-28] () R2 Util NetCrawl; C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe [523552 2014-10-29] () R2 Windows Internet Name Service; C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe [2678272 2013-08-31] () [File not signed] R1 {0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64; C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys [48824 2014-10-18] (StdLib) R1 {1f1a6417-232f-4d66-b329-9186268a4e91}w64; C:\Windows\System32\drivers\{1f1a6417-232f-4d66-b329-9186268a4e91}w64.sys [48824 2014-10-16] (StdLib) R1 {3578bab3-f189-4578-b860-1ee0580e735d}w64; C:\Windows\System32\drivers\{3578bab3-f189-4578-b860-1ee0580e735d}w64.sys [48824 2014-10-12] (StdLib) R1 {38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64; C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys [48824 2014-10-11] (StdLib) R1 {3c9eada7-386c-4a04-ab1e-4eb122397ced}w64; C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys [48824 2014-10-21] (StdLib) R1 {44b76908-31ad-4fdd-90ce-abbdbb78f175}w64; C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys [48824 2014-10-15] (StdLib) R1 {57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64; C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys [61112 2014-06-13] (StdLib) R1 {6191cc23-5db4-4079-aaac-546c45b08af1}w64; C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys [48824 2014-10-22] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61112 2014-06-30] (StdLib) R1 {6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64; C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys [48824 2014-10-22] (StdLib) R1 {75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64; C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys [48824 2014-10-13] (StdLib) R1 {9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64; C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys [48824 2014-10-17] (StdLib) R1 {a00759f4-8f6e-4f04-880d-18a7306588c3}w64; C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys [48824 2014-10-13] (StdLib) R1 {cfbbf934-a234-4282-8ef3-310abb84c3e4}w64; C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys [48824 2014-10-20] (StdLib) R1 {d025c1f1-c366-4b43-8131-ad1c8300487b}w64; C:\Windows\System32\drivers\{d025c1f1-c366-4b43-8131-ad1c8300487b}w64.sys [48824 2014-10-17] (StdLib) R1 {df8d93ab-56ab-414d-b711-87b0e2749bbd}w64; C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys [48824 2014-10-17] (StdLib) R1 {f0f5249d-53cc-459a-8755-4cd64b179fb4}w64; C:\Windows\System32\drivers\{f0f5249d-53cc-459a-8755-4cd64b179fb4}w64.sys [48824 2014-10-16] (StdLib) R1 {f916f162-d4e9-413b-95d2-589769dc98ff}w64; C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys [48824 2014-10-14] (StdLib) R1 {fe0c5df8-6353-4020-a876-2550aa3760cf}w64; C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys [48824 2014-10-19] (StdLib) S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] Task: {938B6109-6153-4382-B9FB-93C104E75815} - System32\Tasks\CPU Grid Computing => C:\Windows\SysWOW64\dfrg\runner.exe [2013-09-19] () Task: {A1068DC6-A65E-4C71-9BE9-00FC07EFE2E9} - System32\Tasks\EPUpdater => C:\Users\Tomek\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-09-01] () Task: {B7A412C4-E867-491F-83D0-5C5CA54F7455} - System32\Tasks\Yahoo! Search => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [2014-10-28] (Pay By Ads LTD) Task: {C32D564C-4688-4BB0-B118-4321FBEA0C16} - System32\Tasks\Yahoo! Search Updater => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe [2014-10-28] (Pay By Ads LTD) HKU\S-1-5-21-742174934-4146700524-2055731102-1000\...\Run: [ChomikBox] => C:\Program Files (x86)\ChomikBox\ChomikBox.exe HKU\S-1-5-21-742174934-4146700524-2055731102-1000\...\Run: [Yahoo! Search] => C:\Users\Tomek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [533352 2014-10-28] (Pay By Ads LTD) AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll [3618304 2013-11-18] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR Extension: (Search-Gol Toolbar) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aipfmkinhleccnodemkoofnnofpbbpac [2013-10-14] CHR Extension: (IB Updater) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd [2013-01-15] CHR Extension: (NetCrawl) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfhnkainfgebjkhaoadlkjgjhhgpbohg [2014-09-17] CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [aipfmkinhleccnodemkoofnnofpbbpac] - C:\Users\Tomek\AppData\Roaming\BabSolution\CR\searchgol.crx [2013-10-14] CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [fgfdfcbeamjnjdejakdidpniblllnbpg] - C:\Windows\SysWOW64\jmdp\pnte.crx [2013-01-15] CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\SysWOW64\mjcm\SweetNT.crx [2014-06-24] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141024 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141024 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQVU5amIp&loc=skw&search={searchTerms}&i=26 SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.max-start.com/?q={searchTerms}&babsrc=SP_ss_mib2&mntrId=269C1C75086B6ED9&affID=125032&tsp=5035 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://www.bigseekpro.com/search/browser/crystalofficetetris/{100B4062-3056-42B4-873C-0ED829B46E4B}?q={searchTerms} SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6PQVU5amIp&loc=skw&search={searchTerms}&i=26 SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = BHO: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension64.dll () BHO-x32: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension32.dll () BHO-x32: Incredibar.com Helper Object -> {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} -> C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO-x32: NetCrawl -> {769a91da-209f-47fe-88b9-b0321b0982c8} -> C:\Program Files (x86)\NetCrawl\NetCrawlBHO.dll (NetCrawl) BHO-x32: searchgol Helper Object -> {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} -> C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD) BHO-x32: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files (x86)\Delta\delta\1.8.10.0\bh\delta.dll (Delta-search.com) BHO-x32: BitAcceleratorBHO Class -> {CAC42510-9B41-42c1-9DCD-7282A2D07C61} -> C:\Program Files (x86)\BitAccelerator\BitAccelerator.dll (TODO: ) Toolbar: HKLM-x32 - xplugin - {DFEFCDEE-CF1A-4FC8-88AD-18272BE37E29} - C:\Users\Tomek\AppData\Roaming\xplugin\toolbar.dll () Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.10.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKLM-x32 - searchgol Toolbar - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files (x86)\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD) C:\Program Files (x86)\BitAccelerator C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\Tomek\AppData\Local\Mozilla C:\Users\Tomek\AppData\Roaming\chrtmp C:\Users\Tomek\AppData\Roaming\Icy_Tower1.4.exe C:\Users\Tomek\AppData\Roaming\BabSolution C:\Users\Tomek\AppData\Roaming\Babylon C:\Users\Tomek\AppData\Roaming\File Scout C:\Users\Tomek\AppData\Roaming\Mozilla C:\Users\Tomek\AppData\Roaming\Software Informer C:\Users\Tomek\AppData\Roaming\Temp C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Qtrax Player.lnk C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\QTRAX C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Windows\system32\dmwu.exe C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys C:\Windows\System32\drivers\{1f1a6417-232f-4d66-b329-9186268a4e91}w64.sys C:\Windows\System32\drivers\{3578bab3-f189-4578-b860-1ee0580e735d}w64.sys C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys C:\Windows\System32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}w64.sys C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys C:\Windows\System32\drivers\{d025c1f1-c366-4b43-8131-ad1c8300487b}w64.sys C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys C:\Windows\System32\drivers\{f0f5249d-53cc-459a-8755-4cd64b179fb4}w64.sys C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys C:\Windows\System32\tprb C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service C:\Windows\SysWOW64\dfrg C:\Windows\SysWOW64\jmdp C:\Windows\SysWOW64\mjcm Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: BitGuard, Delta toolbar, IB Updater 2.0.0.578, IB Updater Service, Incredibar Toolbar on IE, NetCrawl, Qtrax Player, Search-Gol Chrome Toolbar, searchgol toolbar, x-plugin-0, Yahoo! Search. - Starocie: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.4) - Polish, Codec Pack - All In 1 6.0.3.0, ESET Smart Security + crack TNod User & Password Finder, Opera 12.11. 3. Uruchom Google Chrome i sprawdź czy nadal widać jakieś przekierowania (przeglądarka resetowana skryptem FRST). 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txtr. .

Program nie tworzy żadnego raportu. Sprawdź czy coś wskórają te dwie akcje dodatkowe: 1. Wyłącz wtyczki Google Update, Silverlight, Unity, Windows Live Photo Gallery. FireFox: ======== FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_15_0_0_189.dll () FF Plugin: @java.com/DTPlugin,version=10.15.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @microsoft.com/GENUINE -> disabled No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_15_0_0_189.dll () FF Plugin-x32: @java.com/DTPlugin,version=10.71.2 -> C:\Program Files (x86)\Java\jre7\bin\dtplugin\npDeployJava1.dll (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin,version=10.71.2 -> C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF Plugin HKCU: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Andrzej\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS) 2. Przetestuj akcelerację sprzętową: KLIK. .