Frezer Opublikowano 2 Listopada 2014 Zgłoś Udostępnij Opublikowano 2 Listopada 2014 Witam, Problem wystepuje na 6 letnim komputerze z Windowsem Vista 32bit. Jak to paskudztwo się zainstalowało, przyznam się, że nie wiem, gdyż na co dzień korzysta z niego kilka osób (stacjonarny domowy komputer).Bardzo proszę o pomoc w usunięciu infekcji. Próbowałem do tej pory działać sam, ale bezskutecznie. Większość poradników w internecie sugeruje abu usunąć mystartsearch z pozimu panelu sterowania - odinstaluj programy - u mnie nie widnieje on na liście (szukałem go też pod innymi nazwami i posuwałem z systemu to co wydawało mi się podejrzane/zbędne). Przy okazji oczyściłem system ze zbędnych plików w CCleanerze i zrobiłem porządek w rejestrze. Potem przeskanowałem system MAMem, znalazł 3 infekcje, ale czy wśród nich była mystartaserach to nie wiem. Restartowałem firefoxa, szukałem śladu mystartsearch w rejestrze, ale dalej nigdzie go nie ma W załączeniu logi z programów. Podaczas skanów we wszytskich trzech programach (FRST, OLT, GMER) pojawiał się błąd jak w załączonym pliku error.jpg. Domyślam, się że przyczyną może być oprogramowanie emulujace napędy - odinstalowałem więc wg instrukcji na forum Alcohola 120%, ale błąd pojawia się dalej - może coś źle robię albo przyczyną jest coś innego, proszę o wskazówki. Z góry dziękuje za pomoc! Shortcut.txt Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2014 Zgłoś Udostępnij Opublikowano 5 Listopada 2014 Podaczas skanów we wszytskich trzech programach (FRST, OLT, GMER) pojawiał się błąd jak w załączonym pliku error.jpg. Domyślam, się że przyczyną może być oprogramowanie emulujace napędy - odinstalowałem więc wg instrukcji na forum Alcohola 120%, ale błąd pojawia się dalej - może coś źle robię albo przyczyną jest coś innego, proszę o wskazówki. Problemem są odpadkowe wpisy po odpiętych już dyskach (np. przenośnych). Nie jest to szczególny problem i to już zostawmy w spokoju. Próbowałem do tej pory działać sam, ale bezskutecznie. Większość poradników w internecie sugeruje abu usunąć mystartsearch z pozimu panelu sterowania - odinstaluj programy - u mnie nie widnieje on na liście (szukałem go też pod innymi nazwami i posuwałem z systemu to co wydawało mi się podejrzane/zbędne). Adware przekonfigurowało skróty LNK przeglądarek dopisując otwieranie tej szczególnej strony. Wdróż następujące działania: 1. Na początek oinstaluj stare wersje i zbędniki: Adobe Flash Player ActiveX, Adobe Reader 9.1 - Polish, Java 7 Update 67, Java 6 Update 7, McAfee Security Scan Plus, OpenOffice.org Installer 1.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\oem\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1413742161&from=smt&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34 FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401465415&from=wpc&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = about:blank HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401465415&from=wpc&uid=ST3320613AS_9SZ0AY34XXXX9SZ0AY34&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} SearchScopes: HKLM - {768D0F96-8B0E-7DFF-8E53-5B93D52C3275} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091 SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtBtBtCyDtCyB0B0C0B0BtA0BtDyCtN0D0Tzu0CtBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1675312693 SearchScopes: HKLM - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - Backup.Old.DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} SearchScopes: HKCU - 35EF8322F42D4BCD99DC083745EEFE15 URL = http://isearch.avg.com/search?cid={AF6C28BE-BD48-47D1-AE4E-3DFFA628C2C8}&mid=780cad32e5dfd6bfdeebcc3df246f663-34e985a55237710ff26fa09697eaaa4fc353a451&lang=pl&ds=AVG&pr=fr&d=2012-06-10 08:17:52&v=11.1.0.7&sap=dsp&q={searchTerms} SearchScopes: HKCU - {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=b80f3b0600000000000000221517bcbb&tlver=1.4.19.19&ss=1&affID=17981 SearchScopes: HKCU - {28DC2F23-8DD3-4332-A7CE-BCDA9CBEC507} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=994519&p={searchTerms} SearchScopes: HKCU - {768D0F96-8B0E-7DFF-8E53-5B93D52C3275} URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} URL = http://www.daemon-search.com/search/web?q={searchTerms} SearchScopes: HKCU - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKLM - No Name - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKCU - No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File Task: {380A623B-0272-4DD9-B87A-116A35AC290C} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {4176E6CD-46C2-47E3-882C-D801122242E4} - System32\Tasks\Opera D4 => C:\Program Files\Opera\launcher.exe Task: {652CED9F-ABA2-4258-B80D-2C9D10A0157A} - System32\Tasks\e-pity2012_styczen => H:\Ja\e-pity2012\signxml.exe Task: {ACA175B9-B474-45C2-9B92-1FAEE73906BD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe Task: {B6A8A52C-CAE7-4177-9EA3-B9F3B91EDF7B} - System32\Tasks\e-pity2012_kwiecien => H:\Ja\e-pity2012\signxml.exe Task: {C62496AA-7462-40FF-B43E-991E5C4EE519} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: {E1E3955D-6403-4CEA-9FFB-1668EE6BE0E4} - \Funmoods No Task File Task: {E694FDBE-70BD-4AF5-A065-EF49E5B44553} - System32\Tasks\Opera D2 => C:\Program Files\Opera\launcher.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe S2 AVTasks2; C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE [X] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\pswi_preloaded.exe C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Local\prvlcl.dat C:\Users\oem\AppData\Local\Google C:\Users\oem\AppData\Roaming\*.exe C:\Users\oem\AppData\Roaming\AutoUpdate C:\Users\oem\AppData\Roaming\AVG2014 C:\Users\oem\AppData\Roaming\Babylon C:\Users\oem\AppData\Roaming\DAEMON Tools C:\Users\oem\AppData\Roaming\DAEMON Tools Lite C:\Users\oem\AppData\Roaming\Desktopicon C:\Users\oem\AppData\Roaming\eMule C:\Users\oem\AppData\Roaming\F-Secure C:\Users\oem\AppData\Roaming\Funmoods C:\Users\oem\AppData\Roaming\LimeWire C:\Users\oem\AppData\Roaming\Listonosz C:\Users\oem\AppData\Roaming\maxup C:\Users\oem\AppData\Roaming\mystartsearch C:\Users\oem\AppData\Roaming\Onet C:\Users\oem\AppData\Roaming\OpenFM C:\Users\oem\AppData\Roaming\Opera Software C:\Users\oem\AppData\Roaming\pl.com.bebiko.widgetbebiko.35EA91C6F98F4F5A01FBE12E388378AD6D359940.1 C:\Users\oem\AppData\Roaming\Systweak C:\Users\oem\AppData\Roaming\temp C:\Users\oem\AppData\Roaming\TuneUp Software C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\sqlite3.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BabylonToolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CafeNews" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Frezer Opublikowano 20 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 20 Grudnia 2014 Dzień Dobry, Dziękuje bardzo za pomoc. Wykonałem wszystkie kroki i infekcji już nie ma Załączam więc logi celem sprawdzenia czy wszystko jest już ok. PS: Od kilku dni malwerbytes cały czas zwraca taki błąd jak w załączeniu. Czy powinienem się tym przejmować? Z góry dziękuje i pozdrawiam FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Fixlog jest ucięty, zatrzymał się skrypt w połowie i nie wygląda na to, by przetworzył resztę. Poza tym, pojawiły się nowe niepożądane wpisy adware (stąt komunikaty MBAM). W związku z tym, że logi pochodzą sprzed wielu dni, poproszę o zrobienie świeżych raportów FRST (wszystkie trzy) z najnowszej wersji FRST. Odnośnik do komentarza
Frezer Opublikowano 18 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2016 Witam, Przepraszam, że tak długo to trwało, w załączeniu aktualne logi z najnowszej wersji FRST. Podczas skanowania, zwracało błędy jak w pierwszym poście. Ponownie bardzo proszę o pomoc. Z góry bardzo dziękuje, Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2016 Zgłoś Udostępnij Opublikowano 18 Czerwca 2016 Kolejne podejście: 1. Odinstaluj stare programy: Adobe AIR, Adobe Reader X (10.1.16) - Polish, Gadu-Gadu 10, McAfee Security Scan Plus, Real Alternative 2.0.1, Tlen.pl, Windows Media Player Firefox Plugin. 2. Skorzystaj z narzędzia SPTDinst, by usunąć odpadkowy sterownik SPTD: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2D4D9BE8-FFB1-46B6-B3F7-EFF1AA762C41} - System32\Tasks\{9D472D73-0427-4065-B5B6-DF464003042A} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl)(4).exe -d "C:\Program Files\Mozilla Firefox" Task: {33E48D0E-74A9-4B9C-9373-3BEE15ECF2D3} - System32\Tasks\{C6FC1C1F-76F9-4A4F-B00B-B715923248BA} => pcalua.exe -a I:\Setup.exe -d I:\ Task: {380A623B-0272-4DD9-B87A-116A35AC290C} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {3AF1A8C9-966F-4B94-97F1-151C7A20E232} - System32\Tasks\{C546E273-D14F-499E-914E-3FD4D6573B5A} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl).exe -d "C:\Program Files\Mozilla Firefox" Task: {4176E6CD-46C2-47E3-882C-D801122242E4} - System32\Tasks\Opera D4 => C:\Program Files\Opera\launcher.exe Task: {45F87CFF-662A-421D-8CC1-3BDBA823D45D} - System32\Tasks\{C38E3714-766D-4059-A10A-3BBCEF7776F8} => Firefox.exe hxxp://www.skype.com/go/downloading?source=installer&ver=7.18.85.111&LastError=-9 Task: {4CCDBA6F-9B98-4541-A6E1-451FA2D7D766} - System32\Tasks\{51F7F487-D4B1-4EF5-9E99-523E488F2BFF} => pcalua.exe -a I:\Setup.exe -d I:\ Task: {557CF935-1175-48E4-9AC3-D8AD8D0352A0} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe Task: {652CED9F-ABA2-4258-B80D-2C9D10A0157A} - System32\Tasks\e-pity2012_styczen => H:\Ja\e-pity2012\signxml.exe Task: {7DF65177-6A22-4D8F-81FF-6955C807B369} - System32\Tasks\{D59FFDC8-4173-4841-A1DA-C04A4713D9B5} => pcalua.exe -a C:\Users\oem\Downloads\bgg(dobreprogramy.pl).exe -d "C:\Program Files\Mozilla Firefox" Task: {87286AD1-77AB-474A-8287-04D0C8DE999C} - System32\Tasks\{8591C917-4F77-41E0-8AA2-B7C3B187ED72} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.50a-Installer1_[www.instalki.pl].exe -d "C:\Program Files\Mozilla Firefox" Task: {8CAA4EAB-562C-4588-8204-16AADA32C736} - System32\Tasks\{692D0B9B-8B2A-45F9-9D09-3207B8164D8A} => Firefox.exe hxxp://ui.skype.com/ui/0/7.24.0.104/pl/abandoninstall?page=tsProgressBar Task: {9E73AD72-B6D5-4976-8852-1E4300759302} - System32\Tasks\{BFB11901-9B10-40C0-B2F5-22CF702E2207} => pcalua.exe -a C:\Users\oem\Downloads\7z465(2).exe -d "C:\Program Files\Mozilla Firefox" Task: {ACA175B9-B474-45C2-9B92-1FAEE73906BD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe Task: {B568CF89-3CF4-492F-A94A-3B79FB58811E} - System32\Tasks\{31F99992-0242-4F59-9319-CFEC2233E7AE} => pcalua.exe -a C:\PROGRA~1\FREE-D~1.NET\UNWISE.EXE -c C:\PROGRA~1\FREE-D~1.NET\INSTALL.LOG Task: {B6A8A52C-CAE7-4177-9EA3-B9F3B91EDF7B} - System32\Tasks\e-pity2012_kwiecien => H:\Ja\e-pity2012\signxml.exe Task: {C62496AA-7462-40FF-B43E-991E5C4EE519} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: {DE3B1303-76B7-4D00-AC96-AB0FFB8730F3} - System32\Tasks\{90CA24E5-0475-45D7-8791-AECB3693AF8E} => pcalua.exe -a "H:\ Files\Edgard\Profesor Henry 6.0 Słownictwo\unins000.exe" Task: {E1E3955D-6403-4CEA-9FFB-1668EE6BE0E4} - \Funmoods -> Brak pliku Task: {E694FDBE-70BD-4AF5-A065-EF49E5B44553} - System32\Tasks\Opera D2 => C:\Program Files\Opera\launcher.exe Task: {F6093EE7-C749-40B4-BD3B-6F3F36C7BA6C} - System32\Tasks\{8604B5C5-8F35-4703-8684-5FC7AD7AA2C6} => pcalua.exe -a C:\Users\oem\Downloads\eMule0.49c-Installer2(dobreprogramy.pl)(2).exe -d "C:\Program Files\Mozilla Firefox" Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{BFC43E12-E489-4B2B-B41E-D8AE6693F88F}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{F42D1834-37B1-4680-93C9-C5B2374EFB8A}.exe S2 AVTasks2; C:\PROGRA~1\ArcaBit\Common\ARCATA~1.EXE [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin: @java.com/DTPlugin,version=10.67.2 -> C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll [brak pliku] FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - Brak pliku Toolbar: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-1173195434-3095283291-1674841262-1001_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> Brak ścieżki do pliku DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\GameExplorer\{46929376-4A74-45AE-AFE9-58FCE6A836FD} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3Filter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitTorrent (SHAD0W's Experimental) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cafe News C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eMule C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\e-pity 2012.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\e-pity2010.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\Odinstaluj e-pity 2010.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\e-pity\Odinstaluj e-pity 2012.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Skrzyżowania C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grupa IMAGE\Testy B 2011 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LimeWire C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Projektuj i Kupuj 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Local\*.dat C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{F4522413-3019-4953-BB55-AD24E7D8E9C0} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{EFCB1803-5727-4716-B43F-4E7EBBB74EFC} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{C64D08ED-8FDB-4857-9BF7-301C9F141B57} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{B4D7F2B2-C966-4A1D-A8BD-68F9DEE7388B} C:\Users\oem\AppData\Local\Microsoft\Windows\GameExplorer\{7DC64953-9EF7-44A8-9D73-187E026F4AE6} C:\Users\oem\AppData\Roaming\*.exe C:\Users\oem\AppData\Roaming\AutoUpdate C:\Users\oem\AppData\Roaming\AVG2014 C:\Users\oem\AppData\Roaming\Babylon C:\Users\oem\AppData\Roaming\DAEMON Tools C:\Users\oem\AppData\Roaming\DAEMON Tools Lite C:\Users\oem\AppData\Roaming\Desktopicon C:\Users\oem\AppData\Roaming\eMule C:\Users\oem\AppData\Roaming\F-Secure C:\Users\oem\AppData\Roaming\Funmoods C:\Users\oem\AppData\Roaming\LimeWire C:\Users\oem\AppData\Roaming\Listonosz C:\Users\oem\AppData\Roaming\maxup C:\Users\oem\AppData\Roaming\mystartsearch C:\Users\oem\AppData\Roaming\Onet C:\Users\oem\AppData\Roaming\OpenFM C:\Users\oem\AppData\Roaming\Opera Software C:\Users\oem\AppData\Roaming\pl.com.bebiko.widgetbebiko.35EA91C6F98F4F5A01FBE12E388378AD6D359940.1 C:\Users\oem\AppData\Roaming\Systweak C:\Users\oem\AppData\Roaming\temp C:\Users\oem\AppData\Roaming\TuneUp Software C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu 10.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Get OpenOffice.org.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Natalia — skrót (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Natalia — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nowy folder (3) — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\OpenFM.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Pakiet Microsoft Office – 60-dniowa wersja próbna. (*).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\PITy 2009.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rockstar Games Social Club (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Rockstar Games Social Club.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\The Settlers7 — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\zamowienie2a — skrót (2).lnk C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\zamowienie2a — skrót.lnk C:\Users\oem\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\eBay.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player FLV Player.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player Uninstall FLV Player.lnk C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\e-pity.lnk C:\Users\Public\Desktop\AVG 2012.lnk C:\Users\Public\Desktop\e-pity2010.lnk C:\Users\oem\Desktop\Nowy folder (2)\The Settlers7 — skrót.lnk C:\Users\oem\Desktop\Pliki\Continue Image Signature installation.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\roboot.exe C:\Windows\system32\sqlite3.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Frezer Opublikowano 17 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2016 Witam,Bardzo dziękuje za pomoc. Wykonałem po kolei wszystkie kroki, w załączeniu aktualne logi.Napotkałem jedynie 2 małe i myślę, że nie znaczące problemy:- Nowa wersja Adobe Readera nie działa na Viscie wobec tego zainstalowałem darmową Sumatrę (mam nadzieję, że jest to bezpieczny program)- Mcaffe nie da się odinstalować z poziomu panela sterowania, pozbyłem się więc go ręczniePozdrawiam, FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2016 Zgłoś Udostępnij Opublikowano 17 Lipca 2016 - Nowa wersja Adobe Readera nie działa na Viscie wobec tego zainstalowałem darmową Sumatrę (mam nadzieję, że jest to bezpieczny program) Ale Adobe Reader XI powinien działać na Vista: KLIK. Sumatrę też tam wyliczam właśnie jako alternatywę dla kolosa Adobe. Wszystko wykonane, drobne poprawki: 1. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Task: {4F613E31-A572-49CE-98F9-68172B775CAB} - System32\Tasks\{211CCCFB-C2D9-4FBE-88A9-D1F14F44DADE} => Firefox.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {8ECFBFF6-C067-43B7-A3F3-AE77285F66D9} - System32\Tasks\{1BD65674-BAC9-4F78-87E2-C7C194F136E5} => Firefox.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\oem\AppData\Roaming\Tlen.pl RemoveDirectory: C:\Users\oem\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\oem\AppData\Roaming\*.* Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Frezer Opublikowano 20 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 20 Sierpnia 2016 Proszę, w załączeniu fixlog z FRST (restart jednak był, więc mam nadzieję, że wszystko dobrze zrobiłem) oraz log wynikowy z AdwCleaner. Raz jeszcze bardzo dziękuje za pomoc. Pozdrawiam, Fixlog.txt AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 13 Września 2016 Zgłoś Udostępnij Opublikowano 13 Września 2016 1. Restart jednak nastąpił, gdyż FRST natknął się na zablokowany folder C:\Users\oem\AppData\Roaming\Tlen.pl i próbował go usuwać przy restarcie. To się jednak nie udało. Czy Tlen na pewno był odinstalowany (i nie uruchomiony w procesach) w tamtym momencie? Czy w chwili obecnej da się usunąć ten folder ręcznie? 2. AdwCleaner znalazł sporo śmieci szczątkowych. Zaktualizuj program, uruchom ponownie, wybierz po kolei opccje Skanuj + Oczyść i przedstaw wynikowy log z usuwania. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się