EID_pe_iscorrupted

[silver27]

Witam!

 

Moim problemem jest to "coś" z tematu.... nie znam się, więc nie porywam się na określanie czy to wirus czy malwer czy jeszcze coś innego.... Problem pojawił się ok 2 tyg temu, niestety dopiero teraz miałam czas, żeby wykonać wymagane przez was akcje, więc dopiero teraz zakładam posta.... Komputer lekko mi szwankował, nic szczególnego , ot zwolnione tempo, wciąż odświerzający się internet.... nic czemu nie zaradzi zwykłe wyłącz i włącz, aby zaktualizować system. Że jest coś nie tak zauważyłam dopiero gdy chciałam skorzystać ze skypa.... okazywało się, że bądź do mnie, bądź ode mnie połaczenia nie były wyświetlane w oknie, tak u mnie, jak i u współrozmówcy. Wylogowałam się więc ze skypa i próbowałam zalogować się jeszcze raz.... niestety nie udało mi się.... Wyłączyłam komputer, przy okazji kolejny raz się zaktualizował, przeskanowałam go niezależnie od skanu "startowego" dogłębnie i mój antywirus AVG 2014 wykrył mi dwa zagrożenie:

 

http://scr.hu/2azm/7tes8

http://scr.hu/2azm/5rysb

http://scr.hu/2azm/4ajey[

 

Zalecanym zabiegiem jest usunięcie. Niestety jest to równoznaczne z usunięciem całego skypa. Używam starszej wersji, i do nowszej mi się nie spieszy, więc chciałabym tego uniknąć. Wg waszych instrukcji zrobiłam FRST i GMER, niestety nie załączę danych z OTL, gdyż mój komp nie chce nawet zacząć pobierać tego programu...;/. Pozostałe pliki załączam poniżej. Będę wdzięczna za wszelka pomoc.....

 

Zapomniałabym... przy wykonywaniu gmer mój komputer uległ restartowi z powodu "błędu systemu windows"... po restarcie gmer zablokował mi kompletnie laptopa... nie reagował absolutnie na nic, nawet na zamknięcie klapy. Dopiero wyjęcie baterii, go wyłączyło.  Po ponownym uruchomieniu kompa gmer zadziałał podręcznikowo. to chyba tyle, nie wiem co jeszcze istotnego wam trzeba...;/. jak coś to pytajcie .

gm.txt

Addition.txt

FRST.txt

Shortcut.txt

[silver27]

Nie chcę podbijać tematu, i jak dotąd cierpliwie czekałam (rozumiem, że święta, urlopy itd, i że zaległości też rozumiem), ale ile jeszcze mam czekać?? Temat jest wciąż aktualny, do tego doszedł kolejny problem z plikami pdf... http://scr.hu/2azm/aqs47. A ja potrzebuję dostępu do plików pdf... dlatego teraz piszę... i proszę o pomoc...

 

[picasso]

W systemie widać niepożądane instalacje typu adware/PUP. Logi pochodzą jednak sprzed wielu dni. Proszę dodaj nowy komplet logów FRST (główny + Addition + Shortcut) zrobiony z najświeższej wersji.

 

 

Zalecanym zabiegiem jest usunięcie. Niestety jest to równoznaczne z usunięciem całego skypa. Używam starszej wersji, i do nowszej mi się nie spieszy, więc chciałabym tego uniknąć.

Detekcje AVG nie dotyczą zainstalowanego Skype, lecz plików instalatora umieszczonych w lokalizacjach tymczasowych:

 

%localappdata%\Microsoft\Windows\INETCache

%localappdata%\Temp

 

Wykryte pliki bez problemu można usunąć i należy to zrobić, bo to śmieci. EID_pe_iscorrupted = Uszkodzony plik wykonywalny = to nie jest nawet detekcja infekcji, lecz uszkodzonego nagłówka pliku.

 

 

Temat jest wciąż aktualny, do tego doszedł kolejny problem z plikami pdf... http://scr.hu/2azm/aqs47. A ja potrzebuję dostępu do plików pdf...

Mam pytanie: czy w oczekiwaniu na pomoc przypadkiem nie użyłaś ComboFix? Ten komunikat jest typowym skutkiem ubocznym użycia aplikacji. Należy zresetować system, by komunikat ustąpił.

[silver27]

W systemie widać niepożądane instalacje typu adware/PUP. Logi pochodzą jednak sprzed wielu dni. Proszę dodaj nowy komplet logów FRST (główny + Addition + Shortcut) zrobiony z najświeższej wersji.

Załączam nowe pliki.

 

Detekcje AVG nie dotyczą zainstalowanego Skype, lecz plików instalatora umieszczonych w lokalizacjach tymczasowych:

 

%localappdata%\Microsoft\Windows\INETCache

%localappdata%\Temp

 

Wykryte pliki bez problemu można usunąć i należy to zrobić, bo to śmieci. EID_pe_iscorrupted = Uszkodzony plik wykonywalny = to nie jest nawet detekcja infekcji, lecz uszkodzonego nagłówka pliku.

I są one tak duże, że pojawia się komunikat o tym, że pliki są zbyt duże dla kosza i od razu zostaną kompletnie usunięte z kompa?

http://scr.hu/2azm/7l6fx

Jeśli mi to nie uszkodzi skypa to zaraz wykonam usuwanie.

 

Mam pytanie: czy w oczekiwaniu na pomoc przypadkiem nie użyłaś ComboFix? Ten komunikat jest typowym skutkiem ubocznym użycia aplikacji. Należy zresetować system, by komunikat ustąpił.

 

Nie, nie używałam, bo wasza strona była drugą na którą się natknęłam, a macie gigantyczny komunikat żeby go nie używać, bo to dla speców. Ja jestem laikiem, więc się nie pcham . O ile wiem to go również nigdy nie instalowałam.

Addition.txt

Shortcut.txt

FRST.txt

[picasso]

Załączam nowe pliki.

Plik FRST.txt jest ... prawie pusty. Popraw załącznik w powyższym poście podmieniając pliki i daj na PW znać o edycji tematu.

 

 

I są one tak duże, że pojawia się komunikat o tym, że pliki są zbyt duże dla kosza i od razu zostaną kompletnie usunięte z kompa?

Komunikat twierdzi, że plik jest większy niż 30MB. To się zgadza. Plik instalatora SkypeSetupFull.exe, który pobrałam ze strony Skype, waży ~43MB. Plików tych nie musisz usuwać za pomocą AVG, ogólnym czyszczeniem Temp zajmie się mój skrypt FRST podany później. Te pliki instalatora Skype nie są nawet istotne, w systemie grasują inne infekcje adware, których AVG nie notuje.

 

 

Nie, nie używałam, bo wasza strona była drugą na którą się natknęłam, a macie gigantyczny komunikat żeby go nie używać, bo to dla speców.

Czy po zwyczajnym restarcie systemu nadal występuje ten komunikat?

[silver27]

Czy po zwyczajnym restarcie systemu nadal występuje ten komunikat?

 

Tak. Po restarcie,  po wyłącz i włącz komputer również.

[picasso]

Log uzupełniony. Przechodzimy do czyszczenia systemu z adware:

 

1. Przez Panel sterowania odinstaluj adware Reimage Repair, zbędny pasek AVG SafeGuard toolbar oraz archaiczne przeglądarki Flock + Opera 10.00.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {0D9DDEBB-6FDD-433F-807D-B3EC386C19F5} - System32\Tasks\Browser Updater\Browser Updater => C:\Program Files (x86)\HomeTab\WBrowserUpdater.exe 
Task: {2540D1CA-2136-4308-9CC1-13F8AB8D875B} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-06-09] (globalUpdate) 
Task: {294AEA74-828A-4CEA-83C7-15DE38B0BFC2} - \BrowserSafeguard Update Task No Task File 
Task: {513608D1-0E24-41D5-BE5A-4EE747635C61} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-06-09] (globalUpdate) 
Task: {58252B15-7603-4494-B734-DF0261ADDD66} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\HomeTab\WBrowserProtect.exe 
Task: {67131C2C-42FD-4D52-83A3-9D70CFFCDD6D} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2014-12-30] () 
Task: {C8EF4B1D-E319-415B-961B-685BFB0F0B6C} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2014-12-02] (Reimage®) 
Task: {F88BB178-2540-482D-9D0F-076F1CC4BCE9} - System32\Tasks\SystemSockets\SystemSockets => C:\Program Files (x86)\HomeTab\WBrowserProductivity.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-06-09] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-06-09] (globalUpdate) [File not signed]
R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7138664 2014-12-02] (Reimage®)
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKU\S-1-5-21-519654634-1475891941-3348864904-1001\...\MountPoints2: {5c68d2c1-77b0-11e4-beb0-24fd520a19c6} - "F:\startme.exe"
AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found
AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll" File Not Found
ProxyServer: [s-1-5-21-519654634-1475891941-3348864904-1001] => http=127.0.0.1:49213;https=127.0.0.1:49213
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=77302&st=bs&tid=18145&ver=5.7&ts=1402332997371&tguid=77302-18145-1402332997371-5A3E37E2F579CA2A7539B514A7BD4910&q={searchTerms}
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=77302&st=bs&tid=18145&ver=5.7&ts=1402332997371&tguid=77302-18145-1402332997371-5A3E37E2F579CA2A7539B514A7BD4910&q={searchTerms}
SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={1A924997-05DF-47E1-AA2E-1BC82D281FDD}&mid=87d5f506263547d29d3cf5b414eef035-39c2a54a361bd2b42d6085b5a4a07f1b218e2356&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-06-30 18:12:30&v=18.1.0.443&pid=safeguard&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={1A924997-05DF-47E1-AA2E-1BC82D281FDD}&mid=87d5f506263547d29d3cf5b414eef035-39c2a54a361bd2b42d6085b5a4a07f1b218e2356&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-06-30 18:12:30&v=18.1.0.443&pid=safeguard&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.certified-toolbar.com?si=77302&st=bs&tid=18145&ver=5.7&ts=1402332997371&tguid=77302-18145-1402332997371-5A3E37E2F579CA2A7539B514A7BD4910&q={searchTerms}
SearchScopes: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> {BC181B8C-7994-480D-B470-892A53D11639} URL =
Toolbar: HKU\S-1-5-21-519654634-1475891941-3348864904-1001 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
C:\rei
C:\Program Files\Reimage
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\HomeTab
C:\ProgramData\Reimage Protector
C:\Users\castletone77\AppData\Local\pcc.exe
C:\Users\castletone77\AppData\Local\Microsoft\Windows\INETCache\Content.IE5\FK669RJ3
C:\Windows\Reimage.ini
C:\Windows\System32\Tasks\Browser Updater
C:\Windows\System32\Tasks\ProtectedSearch
C:\Windows\System32\Tasks\SystemSockets
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome są podejrzane rozszerzenia:

 

CHR Extension: (Szukaj Przełącznik) - C:\Users\castletone77\AppData\Local\Google\Chrome\User Data\Default\Extensions\dopemniaeocfenlpnoannaefnhfcjcgi [2014-06-09]

CHR Extension: (X New Tab Page(Extension)) - C:\Users\castletone77\AppData\Local\Google\Chrome\User Data\Default\Extensions\nejjhhjbbdlbnpfhbclcilanmofmgdlk [2014-06-09]

 

- Pierwsze nie pochodzi ze Sklepu Chrome. Identyfikator tego rozszerzenia (dopemniaeocfenlpnoannaefnhfcjcgi) jest kojarzony z niechcianymi instalacjami: KLIK.

- X New Tab Page(Extension) też podejrzany, identyfikator nejjhhjbbdlbnpfhbclcilanmofmgdlk występuje w kontekście malware: KLIK.

• Ustawienia > karta Rozszerzenia > odinstaluj Szukaj Przełącznik (o ile pobrana nazwa jest poprawna...) i X New Tab Page(Extension)
• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres mysearch.avg.com, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres mysearch.avg.com

4. Zrób nowe logi:

- FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

- Uruchom Zoek, jako jedyną opcję zaznacz Chrome Look, klik w Run Script.

 

Dołącz też plik fixlog.txt.

[silver27]

Pliki załączam ....

 

Zoek... "wersja nieodpowiednia" dla mojego kompa więc zabiegu nie wykonałam.

 

Ahas... zagapiłam się i operę oraz flocka usunełam już po opcji fix... mam nadzieję, że niczemu nie zaszkodziłam ;/.

 

Ahas pdf... bez zmian ;/.

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Wszystko pomyślnie przetworzone. W związku z tym, że Zoek nie działa, dane na temat preferencji COMODO Dragon i Opera 26 muszę pobrać ręcznie. Kolejne operacje:

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-519654634-1475891941-3348864904-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com?cid={1A924997-05DF-47E1-AA2E-1BC82D281FDD}&mid=87d5f506263547d29d3cf5b414eef035-39c2a54a361bd2b42d6085b5a4a07f1b218e2356&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=pr&d=2014-06-30 18:12:30&v=18.1.9.799&pid=safeguard&sg=&sap=hp
C:\ProgramData\AVG Security Toolbar
C:\Program Files (x86)\AVG SafeGuard toolbar
Folder: C:\Users\castletone77\AppData\Local\Comodo\Dragon\User Data\Default\Extensions
CMD: type "C:\Users\castletone77\AppData\Local\Comodo\Dragon\User Data\Default\Preferences"
Folder: C:\Users\castletone77\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\castletone77\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\Dragon\shell\open\command" /s
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

[silver27]

Ostatni fixlog... 

Jeszcze tylko jedno...

http://scr.hu/2azm/81rei

 

Fixlog.txt

[picasso]

Kolejne czynności, gdyż w pozostałych przeglądarkach też jest adware.

 

1. W COMODO Dragon i Operze odinstaluj rozszerzenie SmartSaver+ 3.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz wynikowy raport z folderu C:\AdwCleaner.

 

 

Jeszcze tylko jedno...

To nieistotny odczyt z kwarantanny FRST. Kwarantannę na końcu zawsze usuwam.

 

 

do tego doszedł kolejny problem z plikami pdf... http://scr.hu/2azm/aqs47. A ja potrzebuję dostępu do plików pdf...

To jest inny problem nie powiązany z powyższymi problemami infekcji adware. Wg obrazka (ikonki plików) pliki PDF są skojarzone z domyślną wbudowaną w Windows 8 przeglądarką PDF. Na liście zainstalowanych nie widać też żadnego zewnętrznego programu (Adobe Reader, Foxit Reader). Potem będę się zastanawiać o co chodzi i jak rozwiązać błąd. Pytaniem jest jednak co się działo w systemie tuż przed wystąpieniem błędu - czy były jakieś deinstalacje / określone akcje prowadzone?

[silver27]

1. Usunięte.

2. Sprawdzone. Plik załączam.

 

To jest inny problem nie powiązany z powyższymi problemami infekcji adware. Wg obrazka (ikonki plików) pliki PDF są skojarzone z domyślną wbudowaną w Windows 8 przeglądarką PDF. Na liście zainstalowanych nie widać też żadnego zewnętrznego programu (Adobe Reader, Foxit Reader). Potem będę się zastanawiać o co chodzi i jak rozwiązać błąd. Pytaniem jest jednak co się działo w systemie tuż przed wystąpieniem błędu - czy były jakieś deinstalacje / określone akcje prowadzone?

 

--------->>>> Tylko wasze instrukcje .....

 

Tylko teraz komunikat wygląda tak...http://scr.hu/2azm/nr70a .

AdwCleanerR0.txt

[picasso]

Tylko teraz komunikat wygląda tak...

Nie miałam zupełnie czasu uruchomić wirtualnej maszyny Windows 8, by sprawdzić gdzie są ustawienia wbudowanej przeglądarki PDF.

 

 

Jeśli chodzi o Adwleaner, to mnóstwo fałszywych alarmów na poprawnych rozszerzeniach Google Chrome i COMODO Dragon. Jest to bug aktualnej wersji. Trzeba nanieść poprawki na wyniki. Usuwanie będę robić ręcznie za pomocą FRST.

 

1. Usuń wyszukiwarki adware z przeglądarek:

- W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystkie wystąpienia Ask, Trovi, Certified Toolbar.

- W COMODO Dragon podobna akcja, ale do skasowania jest tylko jedna pozycja Ask.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\Users\castletone77\AppData\Local\Comodo\Dragon\User Data\Default\Local Storage\*localstorage*
C:\Users\castletone77\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\castletone77\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage*
C:\Users\castletone77\AppData\LocalLow\HomeTab
C:\Users\castletone77\AppData\LocalLow\SimplyTech
C:\Users\castletone77\AppData\Roaming\Nosibay
C:\Users\castletone77\AppData\Roaming\SimplyTech
C:\Users\castletone77\AppData\Roaming\Bubble Dock.installation.log
C:\Users\Public\Desktop\eBay.lnk
C:\Program Files\HomeTab
Reg: reg delete HKCU\Software\1ClickDownload /f
Reg: reg delete HKCU\Software\AppDataLow\Software\simplytech /f
Reg: reg delete HKCU\Software\BrowserSafeguardInstalled /f
Reg: reg delete HKCU\Software\GlobalUpdate /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\DOMStorage\superfish.com" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\certified-toolbar.com" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\softonic.pl" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\superfish.com" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\trovi.com" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.superfish.com" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\www.trovi.com" /f
Reg: reg delete HKCU\Software\Reimage /f
Reg: reg delete HKCU\Software\simplytech /f
Reg: reg delete HKCU\Software\Zugo /f
Reg: reg delete "HKLM\SOFTWARE\AVG Secure Search" /f
Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{7017502F-0194-46B2-AA5A-F713E6C0E366} /f
Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f
Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534} /f
Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{41E2BE59-5C34-46AB-B743-6678BC94F42C} /f
Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f
Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f
Reg: reg delete HKLM\SOFTWARE\InstalledBrowserExtensions /f
Reg: reg delete HKLM\SOFTWARE\Reimage /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3FC27B34-0C19-49DA-875E-1875DDD4A6B2} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{C007DADD-132A-624C-088E-59EE6CF0711F} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\AppID\HomeTab.DLL /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{02A96331-0CA6-40E2-A87D-C224601985EB} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5645E0E7-FC12-43BF-A6E4-F9751942B298} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6D4506CE-F855-4657-AA38-DB6B1F733982} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7017502F-0194-46B2-AA5A-F713E6C0E366} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CFC47BB5-5FB5-4AD0-8427-6AA04334A3FC} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E0ADB535-D7B5-4D8B-B15D-578BDD20D76A} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickCtrl.10 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickProcessLauncherMachine /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.OneClickProcessLauncherMachine.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdate.Update3WebControl.4 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoCreateAsync /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoCreateAsync.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreClass /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreClass.1 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreMachineClass /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CoreMachineClass.1 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CredentialDialogMachine /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.CredentialDialogMachine.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachine /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachine.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassMachineFallback.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassSvc /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.OnDemandCOMClassSvc.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.ProcessLauncher /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.ProcessLauncher.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3COMClassService /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3COMClassService.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachine /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachine.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachineFallback /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebMachineFallback.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebSvc /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\globalUpdateUpdate.Update3WebSvc.1.0 /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3408AC0D-510E-4808-8F7B-6B70B1F88534} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{41E2BE59-5C34-46AB-B743-6678BC94F42C} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\GlobalUpdate /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CFD485F0-96BD-47CD-BB6D-CD7DDA95F102}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5645E0E7-FC12-43BF-A6E4-F9751942B298}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A}" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{CFD485F0-96BD-47CD-BB6D-CD7DDA95F102}" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{5645E0E7-FC12-43BF-A6E4-F9751942B298} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SearchProtect /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner ponownie. Wybierz opcję Szukaj i dostarcz nowy log wynikowy.

[silver27]

1. Usuń wyszukiwarki adware z przeglądarek:

 

 

ZROBIONE

2. Przedstaw wynikowy fixlog.txt.

 

ZAŁĄCZAM

3. Uruchom AdwCleaner ponownie. Wybierz opcję Szukaj i dostarcz nowy log wynikowy.

 

ZAŁĄCZAM

AdwCleanerR1.txt

Fixlog.txt

[picasso]

Fix FRST większość przetworzył, ale nie wszystko. Obecnie AdwCleaner ma już korektę bugu. Pobierz najnowszą wersję, zrób ponownie skan za pomocą opcji Szukaj i dostacz wynikowy log.