Nevan

Drobne poprawki do wdrożenia.

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-299502267-515967899-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggbcQgAUg5BGRhAc1gBTA1BQ1EOIV9aUxQXEVAUJVsOAgBJFAQFIk0FA1ADB0VXfVBdFElXTwhpNVdfDVw/REE=
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" 
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku
URLSearchHook: [s-1-5-21-299502267-515967899-682003330-1004] UWAGA => Brak domyślnego URLSearchHook
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Pobierz i uruchom AdwCleaner - opcja Skanowanie.

 

Pokaż log fixlog.txt i log z AdwCleanera.

Problem rozwiązany.

 

Temat zamykam.

Przyznaję, źle dobrałem słowa, przepraszam. Chodzi nie tyle o skuteczność samego antywirusa, co o opinie na temat firmy (kontrowersje i manipulacje wyników dają obraz na ten temat). W zależności od wielkości zjawisk sugeruję pewne działania mające na celu eliminację określonych rozwiązań z systemu, niezależnie od innych czynników. Nie mam nic do jakości integracji zewnętrznych silników typu BitDefender.

W systemie działa adware Jungle Net. Do tego drobne szczątki akamaihd.

 

Na początek:

 

1. Przez Panel sterowania odinstaluj:

• Stare wersje programów: Adobe Flash Player 10 ActiveX; Adobe Flash Player 10 Plugin; Adobe Shockwave Player 11.5; Java™ 6 Update 14
• Adware Jungle Net

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggbcQgAUg5BGRhAc1gBTA1BQ1EOIV9aUxQXEVAUJVsOAgBJFAQFIk0FA1ADB0VXfVBdFElXTwhpNVdfDVw/REE=
HKU\S-1-5-21-299502267-515967899-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggbcQgAUg5BGRhAc1gBTA1BQ1EOIV9aUxQXEVAUJVsOAgBJFAQFIk0FA1ADB0VXfVBdFElXTwhpNVdfDVw/REE=
HKU\S-1-5-21-299502267-515967899-682003330-1005\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggbcQgAUg5BGRhAc1gBTA1BQ1EOIV9aUxQXEVAUJVsOAgBJFAQFIk0FA1ADB0VXfVBdFElXTwhpNVdfDVw/REE=
URLSearchHook: [s-1-5-21-299502267-515967899-682003330-1004] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {EF547B0C-94AA-46E7-A3AD-E1AB89534083} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQEJUAFCFgUbbVoLAABcFQVBJBRZB1tDDFMTJQ5dAw8SGA0WcR9aFQQTSEcFME0FCFwEURNNfXNND14dRHtGNA==&q={searchTerms}
SearchScopes: HKLM -> {EF547B0C-94AA-46E7-A3AD-E1AB89534083} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQEJUAFCFgUbbVoLAABcFQVBJBRZB1tDDFMTJQ5dAw8SGA0WcR9aFQQTSEcFME0FCFwEURNNfXNND14dRHtGNA==&q={searchTerms}
SearchScopes: HKU\S-1-5-21-299502267-515967899-682003330-1005 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQEJUAFCFgUbbVoLAABcFQVBJBRZB1tDDFMTJQ5dAw8SGA0WcR9aFQQTSEcFME0FCFwEURNNfXNND14dRHtGNA==&q={searchTerms}
SearchScopes: HKU\S-1-5-21-299502267-515967899-682003330-1005 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQEJUAFCFgUbbVoLAABcFQVBJBRZB1tDDFMTJQ5dAw8SGA0WcR9aFQQTSEcFME0FCFwEURNNfXNND14dRHtGNA==&q={searchTerms}
R2 Service Mgr JungleNet; C:\Documents and Settings\All Users\Dane aplikacji\31f7a620-acbd-4f84-82db-5e231b8ad5de\plugincontainer.exe [1049312 2015-10-13] ()
R2 Update Mgr JungleNet; C:\Program Files\Common Files\31f7a620-acbd-4f84-82db-5e231b8ad5de\updater.exe [613088 2015-10-12] ()
S4 IntelIde; Brak ImagePath
C:\Documents and Settings\Administrator\Pulpit\Terraria 1.3.0.5.lnk
C:\Program Files\Mozilla Firefox
C:\Documents and Settings\All Users\Mozilla
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Mozilla
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
CMD: net user ASPNET /delete
Hosts:
Reboot:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko w porządku.

 

Usuń ręcznie z dysku C: plik GMER. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To tyle.

Wygląda na to, że FRST nie może poradzić sobie z wpisem. Zrobimy to "ręcznie".

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files\Google\Chrome\Application\chrome.exe"" /f

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Noo...drogi moderatorze...jakieś szczegóły może, bo to na razie jest pustosłowie. Zamiast takich opinii raczej powinieneś zwrócić uwagę poszkodowanemu, że instalowanie 2 czy nawet trzech programów AV jest proszeniem się o kłopoty...to by miało przynajmniej wymiar edukacyjny.

Proszę bardzo.

Mając dwa (lub więcej) antywirusy włączone jednocześnie nie tylko zwiększa się ilość pobieranych zasobów systemu, ale, co ważniejsze, programy "walczą ze sobą", co przekłada się m.in. na spowolnioną pracę systemu, fałszywe detekcje oraz restarty systemu.

 

Wracając do tematu...

 

1. W logach widać nieaktywne wpisy od programów CyberLink, Synaptics Pointing Device Driver oraz TomTom. Czy programy były deinstalowane? Jeżeli tak, to w jaki sposób?

 

2. Do doczyszczenia kilka pozostałości. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [updateLBPShortCut] => "C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
HKLM\...\Run: [synTPEnh] => %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM-x32\...\Run: [CLMLServer] => "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe"
HKLM-x32\...\Run: [updateP2GoShortCut] => "C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
HKLM-x32\...\Run: [updatePDRShortCut] => "C:\Program Files (x86)\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\7.0"
HKLM-x32\...\Run: [RemoteControl8] => "C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe"
HKLM-x32\...\Run: [PDVD8LanguageShortcut] => "C:\Program Files (x86)\CyberLink\PowerDVD8\Language\Language.exe"
HKLM-x32\...\Run: [updatePPShortCut] => "C:\Program Files (x86)\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\PowerProducer" UpdateWithCreateOnce "Software\CyberLink\PowerProducer\5.0"
HKLM-x32\...\Run: [updatePSTShortCut] => "C:\Program Files (x86)\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
HKLM-x32\...\Run: [uCam_Menu] => "C:\Program Files (x86)\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\...\Run: [TomTomHOME.exe] => "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" -s
HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\...\Run: [Facebook Update] => "C:\Users\ALEKS\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
BHO-x32: Skype Browser Helper -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll Brak pliku
FF Plugin HKU\S-1-5-21-2195184045-3265951034-2981680463-1001: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\ALEKS\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll Brak pliku
S2 GtDetectSc; "C:\Program Files\Orange\ICON 225 USB Connect\GtDetectSc.exe" [X]
S2 HTCMonitorService; "D:\HTC SYNC\HSMServiceEntry.exe" [X]
S2 McAfee SiteAdvisor Service; "C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe" [X]
S2 TomTomHOMEService; C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
Task: {A00E6391-D4EE-4A4A-A132-6BEFA0BCAD4D} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe
Task: {5BC5A1C1-EED1-4B50-A82B-BECD9F3F4509} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1001Core => C:\Users\ALEKS\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1001Core.job => C:\Users\ALEKS\AppData\Local\Facebook\Update\FacebookUpdate.exe
DisableService: sptd
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f
Reboot:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy logi FRST z opcji Skanuj (Scan) - FRST.txt oraz Addition.txt. Dołącz też plik fixlog.txt.

Wygląda na to, że system nie jest w trybie awaryjnym, a zmiany zaszły z powodu usunięcia sterowników karty hybrydowej (AMD+Intel). Odwiedź stronę Lenovo i zainstaluj ponownie sterowniki dla swojego urządzenia.

Problem rozwiązany.

 

Temat zamykam.

Wszystko w porządku. Błędem nie należy się przejmować.

 

Usuń ręcznie folder C:\Users\Karmelek\Downloads\FRST. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To tyle.

Wejdź w zakładkę Rozruch i sprawdź czy opcja Bezpieczny rozruch jest zaznaczona. Jeżeli tak - odznacz ją.

 

Jeżeli to nie pomaga lub opcja nie jej zaznaczona - pisz.

Przechodzimy do usuwania.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [baidusdTray] => "C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\baidusdTray.exe" -stmd=3
HKLM-x32\...\RunOnce: [360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e] => C:\Users\ALEKS\AppData\Local\Temp\1f0fb7c2d13cc0c07ff2ca40747bc03e_remove360.bat [592 2015-10-11] () 
GroupPolicy: Ograniczenia - Chrome 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?un_449343_1618
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={261F23AB-804E-43AB-9593-0DC92CD90ACE}&mid=f1b312713de3484dbabaf754ff139815-37513ad3abf0df8ad8a29357f444e280373f62d3&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-05-05 17:44:05&v=4.1.8.599&pid=wtu&sg=&sap=hp
HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={261F23AB-804E-43AB-9593-0DC92CD90ACE}&mid=f1b312713de3484dbabaf754ff139815-37513ad3abf0df8ad8a29357f444e280373f62d3&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-05-05 17:44:05&v=4.1.8.599&pid=wtu&sg=&sap=hp
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKU\S-1-5-21-2195184045-3265951034-2981680463-501 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2009-01-29] ()
BHO-x32: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2009-01-29] ()
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
BHO-x32: Brak nazwy -> {fda8d6c4-fe72-447c-b234-6ed844ce65c9} -> Brak pliku
Toolbar: HKLM - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2009-01-29] ()
Toolbar: HKLM-x32 - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2009-01-29] ()
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll [2009-01-29] ()
Handler-x32: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2009-01-29] ()
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll Brak pliku
FF HKLM-x32\...\Firefox\Extensions: [{B7082FAA-CB62-4872-9106-E42DD88EDE45}] - C:\Program Files (x86)\McAfee\SiteAdvisor
FF Extension: McAfee SiteAdvisor - C:\Program Files (x86)\McAfee\SiteAdvisor [2010-03-06]
FF HKLM-x32\...\Firefox\Extensions: [ext@RichMediaViewV1release8029.net] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release8029\ff => nie znaleziono
CHR HKLM-x32\...\Chrome\Extension: [eflnnkmjeadgdeplfdhkhfpfjgppnlpl] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta837\ch\VideoPlayerV3beta837.crx 
CHR HKLM-x32\...\Chrome\Extension: [eninddghlnbmemfnoobkjdjgphopojgc] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha295\ch\WebexpEnhancedV1alpha295.crx 
CHR HKLM-x32\...\Chrome\Extension: [ocldjbeggnppblbfbbokokmicofpbhng] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release8029\ch\RichMediaViewV1release8029.crx 
U3 ac1y9onp; Brak ImagePath
U3 alazw7mq; Brak ImagePath
R3 360AvFlt; system32\DRIVERS\360AvFlt.sys [X]
R3 360Box64; system32\DRIVERS\360Box64.sys [X]
2015-10-10 21:42 - 2015-10-10 21:42 - 00000000 __SHD C:\$360Section
2015-10-10 20:47 - 2015-10-10 21:42 - 00000000 ____D C:\ProgramData\360Quarant
2015-10-10 20:46 - 2015-10-10 20:46 - 00000000 ____D C:\windows\Tasks\360Disabled
2015-10-10 20:45 - 2015-10-10 20:45 - 00000000 ____D C:\Program Files (x86)\360
2015-10-09 15:04 - 2015-10-09 15:04 - 00000000 ____D C:\Users\ALEKS\AppData\Local\{D6543D28-E48D-4597-A5F2-547D57146233}
2015-10-09 14:56 - 2015-10-09 14:56 - 00000000 ____D C:\ProgramData\Reason
2015-10-09 14:53 - 2015-10-09 14:53 - 00000000 ____D C:\Program Files\Reason
2015-10-09 14:44 - 2015-10-11 17:40 - 00000000 ____D C:\Users\ALEKS\AppData\Roaming\Appcelerator
2015-10-07 17:29 - 2015-10-07 17:29 - 00000000 ____D C:\Users\ALEKS\AppData\Local\{B9DC07FB-5518-4515-9EE0-4D041CC13791}
2015-10-11 20:44 - 2015-04-21 16:43 - 00000000 ____D C:\ProgramData\Baidu
2015-10-11 18:44 - 2015-04-21 21:46 - 00000000 ____D C:\Users\ALEKS\AppData\Roaming\Baidu
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\ALEKS\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku
Task: {09C655DF-A5A3-4838-95A1-3FDE21CC2F4E} - System32\Tasks\{97364947-3A04-4136-A394-E6876019BE6E} => pcalua.exe -a c:\users\aleks\appdata\local\lollipop\lollipop_12101307.bat
Task: {0DC64F28-4223-4AF4-9311-977C841F57A8} - System32\Tasks\{A011EFB3-C594-46F3-B556-D0FD9DBF9E1D} => pcalua.exe -a C:\Users\ALEKS\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor 
Task: {219B0AB4-46AF-493B-AD0E-92FBB3DA2410} - System32\Tasks\{D56D54F5-3FBF-4E4A-AFCC-4D991814A946} => pcalua.exe -a C:\Users\ALEKS\Downloads\WoT_0.6.7_eu_setup.exe -d C:\Users\ALEKS\Downloads
Task: {3EA14A9F-1466-41E2-A71D-FF62A699C165} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe 
Task: {6A91EE4D-F601-45EC-975D-07DEA9067D29} - System32\Tasks\{5EFF2E06-794A-4199-9013-5795AB2651EC} => pcalua.exe -a "D:\Tibia Navi\TibiaNavi.exe" -d "D:\Tibia Navi"
Task: {6DD5B620-CAA2-450D-851D-0E799B546585} - System32\Tasks\{D388E28C-5211-4062-89D8-324EA849071B} => pcalua.exe -a "D:\DAEMON Tools Lite\uninst.exe" -d "D:\DAEMON Tools Lite"
Task: {BEF0D0EC-96B5-4016-B4F1-C57CE67EAE2F} - System32\Tasks\{5C11C989-552F-4F02-9178-E3C39B570B69} => pcalua.exe -a C:\windows\IsUn0415.exe -c -fd:\kristina\Uninst.isu -cd:\kristina\UninstallProject.dll
Task: {FAF24B36-CFAE-4797-9B1C-F498456EA69A} - System32\Tasks\{7C993726-BF35-4790-B5FF-A2AE864E5E13} => pcalua.exe -a "D:\Gry\World_of_Tanks\WoT Hitbox Installer\WoT Hitbox Installer.exe" -d "D:\Gry\World_of_Tanks\WoT Hitbox Installer"
AlternateDataStreams: C:\ProgramData\Temp:373E1720
IE trusted site: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\...\baidu.com -> hxxp://baidu.com
FirewallRules: [TCP Query User{258CD03F-BC0B-420A-B4AF-391290BE86AF}D:\gg\gadu-gadu 10\gg.exe] => (Allow) D:\gg\gadu-gadu 10\gg.exe
FirewallRules: [uDP Query User{6AD3CA1E-71D5-41EB-BEA4-B5CCE4D3A363}D:\gg\gadu-gadu 10\gg.exe] => (Allow) D:\gg\gadu-gadu 10\gg.exe
FirewallRules: [TCP Query User{35749306-2437-40F0-8DF7-AEF73B5AD13B}D:\gg\gadu-gadu 10\gg.exe] => (Block) D:\gg\gadu-gadu 10\gg.exe
FirewallRules: [uDP Query User{29663453-EED6-4E08-9C4D-C89A1AED6E9C}D:\gg\gadu-gadu 10\gg.exe] => (Block) D:\gg\gadu-gadu 10\gg.exe
C:\Program Files (x86)\McAfee
C:\ProgramData\VKSaver
C:\Users\ALEKS\AppData\Roaming\omiga-plus
c:\users\aleks\appdata\local\lollipop
C:\Program Files (x86)\Baidu
C:\Users\ALEKS\Documents\Youcam\YouCam(Webcam).lnk
C:\Users\ALEKS\Desktop\Samsung\Adobe Reader XI.lnk
C:\Users\ALEKS\Desktop\Samsung\CyberLink\CyberLink DVD Suite.lnk
C:\Users\ALEKS\AppData\Roaming\Microsoft\Windows\SendTo\AVS Mobile Uploader.lnk
C:\Users\ALEKS\AppData\Roaming\Microsoft\Windows\SendTo\AVS Video Burner.lnk
C:\Users\ALEKS\AppData\Roaming\Microsoft\Windows\SendTo\AVS Video Uploader.lnk
C:\Users\Default\Desktop\CyberLink DVD Suite.lnk
C:\Users\Default\Desktop\CyberLink YouCam.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink YouCam
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite
C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink YouCam
C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite
C:\Users\UpdatusUser\Desktop\CyberLink DVD Suite.lnk
C:\Users\UpdatusUser\Desktop\CyberLink YouCam.lnk
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink YouCam
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite
Reg: reg delete HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Hosts:
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowe logi FRST z opcji Skanuj (Scan) - FRST.txt oraz Addition.txt. Dołącz też plik fixlog.txt.

Po restarcie systemu klikaj F8 - powinno pojawić się takie menu jak poniżej. Wtedy wybierasz Uruchom system Windows normalnie. Jeżeli nie pójdzie to spróbuj z Ostatnia znana dobra konfiguracja.

 

Czy próbowałeś uruchomić system ręcznie po restarcie? (Ostatnia dobrze znana konfiguracja/Uruchomienie w trybie normalnym)

Spróbuj odinstalować chińczyka mimo wszystko - najprawdopodobniej to ikona śmietnika.

Dziwne. Co w takim razie robi tutaj program od AMD...

 

Czy uruchamiałeś ten deinstalator? Jeżeli nie, zrób to i sprawdź, czy problem zniknie.

Fakt...

 

W tym samym linku co powyżej znajdziesz informacje na ten temat - sekcja Aktualizacje Windows.

Nie. 360 Total Security to chiński wyrób marnej jakości. Pomijam już fakt, że działa on jednocześnie z AVG, powodując jeszcze więcej szkód.

W takim razie instrukcje końcowe.

 

Z pulpitu usuń folder FRST. Zastosuj Delfix oraz wyczyść foldery przywracania systemu: KLIK.

 

Temat zostawię otwarty. Daj znać gdyby problemy wróciły.

W logach widać, że problemy, poza Baidu, powoduje też chiński 360 Total Security.

 

Na początek deinstalacje.

 

1. Przez Panel sterowania odinstaluj:

Stare wersje i zbędne programy: Adobe Reader XI (11.0.12) - Polish; Adobe Shockwave Player 11.5; Adobe Acrobat XI Pro; Adobe AIR; Java 8 Update 51; Spybot - Search & Destroy

Chińskie oprogramowanie: 360 Total Security; 百度杀毒3.0

 

2. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając Addition.txt oraz Shortcut.txt.

W logu widać, że błąd powoduje plik FxVistaPreview.dll należący do DraftSight 2015. Odinstaluj testowo ten program i zobacz, czy problem zniknie.

 

Co do infekcji to do wdrożenia drobne poprawki.

 

Otwórz Notatnik i wklej w nim:

 

FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\BartekRos\AppData\Roaming\Mozilla\Firefox\Profiles\1u68wtin.default\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\BartekRos\AppData\Roaming\Mozilla\Firefox\Profiles\1u68wtin.default\extensions\deskCutv2@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\BartekRos\AppData\Roaming\Mozilla\Firefox\Profiles\1u68wtin.default\extensions\default_newtabff@gmail.com => nie znaleziono
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.delta-homes.com/?type=sc&ts=1444460810&z=f39c908802657589a48f999gez7z7zfzfqfecbaebt&from=wpm07163&uid=WDCXWD3200BEVT-22ZCT0_WD-WXT0E59DKT89DKT89

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Problem rozwiązany.

 

Temat zamykam.

Wygląda w porządku.

 

Usuń ręcznie z pulpitu plik GMER. Zastosuj Delfix oraz wyczyść foldery przywracania systemu: KLIK.

 

To tyle.

Drobne poprawki do wdrożenia.

 

1. Wejdź w Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

FF Plugin: @videolan.org/vlc,version=2.0.5 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [brak pliku]
FF Plugin: @videolan.org/vlc,version=2.0.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [brak pliku]
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
S0 sptd; C:\Windows\System32\Drivers\sptd.sys [845560 2013-02-05] (Duplex Secure Ltd.)
S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X]
Task: {697DC977-A850-451E-BB4C-A9BC7F067BA6} - System32\Tasks\{DAF252A6-857B-48CE-8604-A7ECB0852DAF} => pcalua.exe -a H:\setup.exe -d H:\
Task: {6C303C9D-4FB6-4543-B0BD-B59D1CF299F0} - System32\Tasks\{D340784C-86C0-4CBC-B3E3-85F3DE659EF5} => pcalua.exe -a H:\Redist\vcredist_x86.exe -d H:\Redist
AlternateDataStreams: C:\ProgramData\TEMP:05E9FFE5
C:\Windows\System32\Drivers\sptd.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd" /f

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Usuń wszystkie pobrane i uruchamiane ostatnio rzeczy, które mają związek z "crackowaniem", czy niedomyślnymi "launcherami / modami gier" i innymi tego typu rzeczami. To najprawdopodobniej przez nie infekcja wraca(ła).

 

Wejdź ponownie w Google Chrome i wejdź w Ustawienia > karta Ustawienia > sekcja Wygląd i zaznacz "Pokaż przycisk strony startowej" > Zmień. Zrób zrzut ekranu z tego miejsca i pokaż go.