Nevan

W nowych logach czysto. Rozumiem, że teraz nie ma żadnych problemów?

W takim razie kończymy. Poprzez SHIFT+DEL skasuj ręcznie z pulpitu plik GMERa. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK

Z wynikami z GMERa wszystko w porządku - fałszywy alarm. Dodatkowe kroki, które można podjąć w celu optymalizacji: 1. Wejdź w Menedżer zadań > zakładka Uruchamianie i powyłączaj z autostartu niepotrzebne programy: StartCCC 331BigDog SunJavaUpdateSched HP Software Update Spotify Web Helper GoogleChromeAutoLaunch_332B101ED56858E0765C41199BCD4350 HP ENVY 4500 series (NET) AmoltoRecorder 2. W Windowsowym szukaniu wpisz services.msc, znajdź usługi c2cautoupdatesvc i c2cpnrsvc i przez Właściwości zmień ich typ uruchamiania na Ręczny. Pytanie: W systemie widać program Nitro PDF, jednak nie widnieje on na liście zainstalowanych programów. Korzystasz z niego, czy odinstalowywałeś go wcześniej?

Niemniej jednak powinna zostać ona odinstalowana. Możliwe nawet, że to właśnie GG jest sprawcą omawianych problemów. Dodatkowo, GG10 reinstaluje Adobe Flash Player 10, co przekłada się na obniżenie bezpieczeństwa. Usuniemy te foldery przy okazji skryptu poniżej. 1. Otwórz Notatnik i wklej w nim: Reg: reg query HKU\S-1-5-21-339540346-3109504209-938711790-1001\Software\Microsoft\Windows\CurrentVersion\Run /s HKU\S-1-5-21-339540346-3109504209-938711790-1001\...\Run: [*LABAL*] => [X] Task: {F4672EED-D694-43F0-8B96-62520F3A2DB8} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe 2015-09-29 23:32 - 2015-06-30 12:17 - 00000000 ____D C:\ProgramData\HitmanPro 2015-10-01 17:58 - 2015-10-01 17:58 - 00000000 ____D C:\ProgramData\GridinSoft Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Otwórz Internet Explorer i wejdź w Opcje Internetowe > Programy > Zarządzaj dodatkami > dla Paski narzędzi i rozszerzenia oraz Akceleratory przestaw w dolnym menu widok na Wszystkie dodatki. Zrób zrzuty ekranu z obu kart, obejmujące wszystkie pozycje na liście i dołącz je do posta (jeżeli nie możesz tego zrobić to wrzuć je na jakiś hosting, np. imgur.com)

Te wyniki TDSSKillera pojawiły się tam dlatego, że brak przy nich podpisu cyfrowego. Innymi słowy - nie ma się o co martwić i nie należy ich usuwać. Wpisy znalezione przez MBAM możesz usunąć. Klucz od komputerswiat jest nieszkodliwy. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SYSTEM\ControlSet007\Enum\Root\LEGACY_TRISTIP DeleteKey: HKLM\SYSTEM\ControlSet009\Enum\Root\LEGACY_TRISTIP DeleteKey: HKLM\SYSTEM\ControlSet010\Enum\Root\LEGACY_TRISTIP DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TRISTIP DeleteKey: HKU\S-1-5-21-1275210071-117609710-725345543-1003\Software\Microsoft\Internet Explorer\DOMStorage\safefinder.com Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Sprawdź, czy reklamy zniknęły.

W systemie działa adware, i to najprawdopodobniej ono jest przyczyną. Brak za to śladów keyloggera. 1. Przez Panel sterowania odinstaluj: Stare wersje programów: Adobe Reader 9.5.5; J2SE Runtime Environment 5.0 Update 6; Java 7 Update 40; Java 8 Update 20; Java 8 Update 25; Java 8 Update 31; Java 8 Update 40; Java 8 Update 45; Java 8 Update 51; Java™ 6 Update 31; JavaFX 2.1.1; LiveUpdate Notice (Symantec Corporation); Windows Live Toolbar Adware/PUP: SectionDouble; SuperManCoupon; TornTV 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-556579389-2633179073-3079579657-1008\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 URLSearchHook: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 - (Brak nazwy) - {00000000-6E41-4FD3-8538-502F5495E5FC} - Brak pliku HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1420986849&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX&q={searchTerms} SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> {FD368303-4498-4C75-9333-D447405C985D} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku BHO: Brak nazwy -> {5CA3D70E-1895-11CF-8E15-001234567890} -> Brak pliku BHO: Brak nazwy -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> Brak pliku BHO: Brak nazwy -> {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -> Brak pliku Toolbar: HKLM - Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-556579389-2633179073-3079579657-1008 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX 2015-02-05 14:07 - 2015-02-15 01:25 - 0000020 _____ () C:\Documents and Settings\barbara\Dane aplikacji\appdataFr3.bin ShortcutWithArgument: C:\Documents and Settings\barbara\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX ShortcutWithArgument: C:\Documents and Settings\barbara\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX ShortcutWithArgument: C:\Documents and Settings\barbara\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1434477759&z=00555cfe18fff608f2bece0g8zecazez2m7mam7w5z&from=ient06162&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX ShortcutWithArgument: C:\Documents and Settings\barbara\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420986836&from=ild&uid=HITACHIXHTS541612J9SA00_SB2D41EVHWLR7EHWLR7EX DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab S3 getPlusHelper; C:\Program Files\NOS\bin\getPlus_Helper.dll [48368 2009-09-03] (NOS Microsystems Ltd.) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] C:\Documents and Settings\All Users\Start Menu\Programs\TOSHIBA\Recovery\TOSHIBA Application Installer.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Windows Messenger.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Walor 3\Konfigurator.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Tarbonus\Asystent bhp.lnk C:\Documents and Settings\All Users\Mozilla C:\Documents and Settings\barbara\Dane aplikacji\Mozilla C:\Documents and Settings\barbara\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox C:\Program Files\NOS C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\Documents and Settings\JAGODA Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: net user ASPNET /delete EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

Dzięki za poinformowanie. Niestety logi, które wstawiłeś, wyglądają na uproszczone, prawdopodobnie z powodu tego problemu, który miał miejsce. Zrób proszę nowe, w normalnym trybie.

Gadu Gadu 10 wciąż jest zainstalowane: Zwracam na to uwagę ze względów bezpieczeństwa. Do poczytania na ten temat: KLIK (sekcja GG) Uruchom FRST, w polu Szukaj wpisz *terraclicks*;*ad2up*;*bet-at-home* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze. Przedstaw oba pliki - Search.txt i Search1.txt.

Nie. Akcja w spoilerze robi nieco więcej niż przeczyszczenie plików tymczasowych. Alternatywę podam, gdy skończymy (w razie gdybym zapomniał - przypomnij). Akurat te wpisy z GMERa nie wyglądają na infekcję. Sprawdzimy jednak na wszelki wypadek skąd taki odczyt. Przy okazji posprzątamy jeszcze trochę. 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Task: {03049AC9-C5C7-462B-A52A-9E3916E41BED} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {10F3DD29-5A25-45CB-9D92-C8C19A578B42} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {1B270645-450D-4EE5-A061-10FD2D7A2906} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {2C1FD48C-E11D-4340-B7A5-FCDE8CAC1C61} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {2F4E9471-0CBF-4672-8187-242E1BBF592F} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {39F9F858-DF5B-4688-86CB-9E9FF2E012F3} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {408B899B-B135-44CD-829C-ED52836F580E} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {454C30E0-FD56-439A-BA03-4F90E63DA5EC} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {480F5A73-F99F-43E7-9BE3-38DB698C154A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {52441912-F2BB-4D3F-A148-61B2833EF5F6} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {7C4C0D11-EF5D-41D6-8797-E9B64F99A7CE} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {84B1D621-3BE1-4ADB-85FC-946DB31266BB} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {A674B762-FE76-4352-BDFF-1A163D08DBBA} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BC5E4159-B6BA-456D-A908-894756128775} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BC6A7D90-5F43-4D5E-9C3A-B62C290C23DD} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {CC275262-53E4-4D03-B984-CF3C68DED830} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {CE62F6CB-ABF2-47F7-8C60-5FB5C1498D4D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {DE7EE77A-A8EB-43D4-AABD-A2C6102087DF} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {DE934161-AE0D-424F-8BE8-104222ECC021} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {DECA7856-D08C-4F61-BFF6-1896BE049B69} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {E0755063-0F42-465C-9E54-EB64FF72CA5C} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {E52B6485-EA40-4095-9028-9A5013D0C50F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe ListPermissions: C:\Users\Lenovo\AppData\Local\Microsoft\Windows\SettingSync Folder: C:\Users\Lenovo\AppData\Local\Microsoft\Windows\SettingSync Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając Addition.txt i Shortcut.txt. Dołącz też plik fixlog.txt. 3. Zrób nowy log GMER z poziomu trybu awaryjnego.

W systemie brak infekcji. Do wdrożenia jedynie drobne akcje kosmetyczne schowane w spoilerze. Odnośnie problemu, w oczy rzuca się niska ilość wolnego miejsca na C:. Możliwości do wykorzystania w celu poprawy sytuacji: 1. Z panelu sterowania odinstaluj nieznane/nieużywane programy. 2. Z racji urządzenia Lenovo jest możliwe wyłączenie/usunięcie funkcji zbierających dane: KLIK 3. Akcje w spoilerze przeczyszczą pliki tymczasowe. Powinno to zwolnić trochę miejsca. 4. Jako, że na partycji D: jest trochę niewykorzystanego miejsca, można je przenieść na partycję C:. W Windowsowym szukaniu wpisz Utwórz i sformatuj partycje dysku twardego. Z prawego kliku na partycję D: wybierz Zmniejsz wolumin i zmniejsz dysk o tyle, o ile chcesz powiększyć partycję C: (oczywiście zachowując potrzebną ilość miejsca na D:). Następnie wybierz z prawego kliku partycję C: > Rozszerz wolumin i dodaj do tej partycji odjęte przed chwilą miejsce.

W takim razie trzeba sprowadzić router do ustawień fabrycznych, co równa się z jego konfiguracją (nazwa, hasło, itp.) od początku.

Skoro wszystko w porządku, to temat zamykam.

Zrób nowe logi FRST (FRST.txt i Addition.txt) z normalnego startu, gdy masz odłączony internet.

Co się dzieje przy próbie zmiany? Jakieś błędy? Podaj dokładny model routera.

Rozumiem, że gdy zmieniałeś opcje w msconfig, byłeś w Trybie awaryjnym?

W logach nie widać infekcji, są jedynie drobne odpadki. Widać jednak podejrzane pliki w folderach tymczasowych, więc pozbędziemy się ich i zobaczymy, czy to pomoże. 1. Przez Panel sterowania odinstaluj: Stare wersje programów: Adobe AIR; Adobe Flash Player 10 Plugin; Adobe Reader XI - Polish; Gadu-Gadu 10; Java 8 Update 45; JavaFX 2.1.1 Wejdź do C:\Program Files\GridinSoft Trojan Killer i sprawdź, czy znajdziesz tam deinstalator. Jeżeli jest, użyj go. Odinstaluj także te programy, jeżeli ich nie znasz/nie używasz: Kakadu ver. 2.2; VoipGain 2. Pobierz załączony plik fixlist.txt i umieść go obok narzędzia FRST. fixlist.txt Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

W logach widać ślady adware, ale tym zajmiemy się później. Sprawdź, czy problem występuje podczas czystego rozruchu. Instrukcje tutaj: KLIK

Przechodzimy do czyszczenia. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [mbot_pl_014010079] => [X] HKLM-x32\...\Run: [gmsd_pl_005010079] => [X] HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-2560683777-2046369973-3445867491-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot Startup: C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk [2015-09-03] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-2560683777-2046369973-3445867491-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> DefaultScope {C608A031-6EDF-4034-BC05-4996C58003FC} URL = SearchScopes: HKU\S-1-5-21-2560683777-2046369973-3445867491-1001 -> {C608A031-6EDF-4034-BC05-4996C58003FC} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1441281428&z=f0ae4350a24fa703973c72bgfz3z6g5o3beg4z3o4c&from=amt&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1441307362&z=fa836c7a0a09cad35089d72g9zdz4g5c5efmco9o9c&from=face&uid=WDCXWD5000LPVX-75V0TT0_WX21A458C0VXA458C0VX R1 wsafd_1_10_0_19; C:\Windows\System32\drivers\wsafd_1_10_0_19.sys [57728 2015-06-16] (Word Surfer) 2015-09-03 15:48 - 2015-09-03 15:50 - 00000000 ____D C:\Users\Karmelek\AppData\Local\BrowserHelper 2015-09-03 14:30 - 2015-10-02 21:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\istartsurf 2015-09-03 14:02 - 2015-09-03 16:09 - 00004196 _____ C:\WINDOWS\System32\Tasks\Crossbrowse 2015-09-03 14:02 - 2015-09-03 14:02 - 00000000 ____D C:\Users\Karmelek\AppData\Local\Crossbrowse 2015-09-03 14:00 - 2015-09-04 16:03 - 00000000 ____D C:\Users\Karmelek\AppData\Local\4C4C4544-1441288801-4210-8035-B7C04F4A3532 2015-09-03 13:59 - 2015-09-04 21:44 - 00000000 ____D C:\Program Files (x86)\4C4C4544-1441281560-4210-8035-B7C04F4A3532 2015-09-03 13:59 - 2015-09-03 17:50 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 2015-09-03 13:59 - 2015-09-03 13:59 - 00000000 ____D C:\Program Files (x86)\predm 2015-09-03 13:59 - 2013-08-22 15:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak 2015-09-03 13:58 - 2015-09-26 14:49 - 00000000 ____D C:\Program Files (x86)\YTDownloader 2015-09-03 13:58 - 2015-09-03 13:58 - 00003498 _____ C:\WINDOWS\System32\Tasks\Inst_Rep 2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Public\Documents\ShopperPro 2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader 2015-09-03 13:58 - 2015-09-03 13:58 - 00000000 ____D C:\ProgramData\ShopperPro 2015-09-03 13:57 - 2015-09-03 21:09 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2015-09-03 13:57 - 2015-09-03 18:13 - 00000000 ____D C:\Users\Karmelek\AppData\Roaming\oursurfing Task: {00BFF1EB-D351-421F-AA9A-A65834571467} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1EFCA85C-B723-4E82-A036-C4561CBB46F5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {40E884B2-02BF-45EB-9A12-744E521F0B10} - \PCDEventLauncherTask -> Brak pliku Task: {433805FB-5537-4D45-ABCD-201C16E4C5CC} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {6DEED334-68D6-49A1-BA62-BFBB48958A28} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {86848F51-A176-4620-83C2-ADB5335244F4} - \PCDoctorBackgroundMonitorTask -> Brak pliku Task: {93957812-679D-4255-BD07-1600169187CD} - \SystemToolsDailyTest -> Brak pliku Task: {9D40E346-8661-4A98-A9C8-697C368D639D} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: {BF50EF5C-6618-455C-8C74-06E36ED05EEF} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe C:\Program Files (x86)\WordSurfer_1.10.0.19 Task: {D7F04FC3-6AA8-41F7-8C88-7A6487DB8683} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: C:\WINDOWS\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" CMD: for /d %f in (C:\ProgramData\*WdsManPro*) do rd /s /q "%f" C:\ProgramData\*WdsManPro* globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Setup /f C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader\YTDownloader.lnk C:\Users\Karmelek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\crossbrowse.lnk C:\Users\Karmelek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Crossbrowse.lnk C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Mozilla C:\Users\Karmelek\AppData\Local\Mozilla C:\Users\Karmelek\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przez Panel sterowania odinstaluj globalupdate Helper. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt.

Zaraz się tym zajmiemy. Tak. Na tej zasadzie to właśnie działa i nie powinno się tego robić. Tak. Uruchom FRST, w polu Szukaj wpisz *tristip*;*safefinder* i kliknij Szukaj plików. Po zakończonym szukaniu powstanie plik Search.txt. Zmień jego nazwę na Search1.txt i uruchom ponownie szukanie z tą samą frazą, lecz tym razem kliknij Szukaj w rejestrze. Przedstaw oba pliki - Search.txt i Search1.txt.

Wygląda w porządku. Zaktualizuj Adobe Flash Player, zastosuj Delfix i wyczyść foldery przywracania systemu: KLIK

Co do stosowania ComboFix na własną rękę, do poczytania: KLIK. Stosowanie narzędzi do czyszczenia rejestru samo w sobie jest błędem (używają one określonych schematów które nie biorą pod uwagę różnych zmiennych, przez co mogą doprowadzić do błędów), a już w szczególności samodzielne ręczne usuwanie kluczy. To samo z "odinstalowaniem" Internet Explorera. Nie odinstalowałeś go, lecz jedynie zdegradowałeś do wersji IE 6. Obniża to bezpieczeństwo i powinno zostać naprawione, ale to później. Na ten moment: 1. Przez Panel sterowania odinstaluj stare Gadu-Gadu 7.6. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. Jako, że wpisy są dwa, narzędzie trzeba uruchomić dwa razy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1275210071-117609710-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBRGobaceDAmnCQPnaQAsPsFORt1ylW6oQwzpZvrm_UqO7vYUImOzqa1T7l8VAmVMtB6JGNoOmel4gQ,, HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms} HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBRGobaceDAmnCQPnaQAsPsFORt1ylW6oQwzpZvrm_UqO7vYUImOzqa1T7l8VAmVMtB6JGNoOmel4gQ,, HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms} HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csJD4QbI3AKJvCImqHpQkP-vKES4C45HjWAbRpRkxC0nojJwIwS21SiijWpsC_9iBR08MjbO59bkuVFj3ulM0b-tU-9Ra4qBYb9Wq8u9uvc9bHx9b7x-DNwk73WvR8SaMeSk18TsEe9PGg,,&q={searchTerms} HKU\S-1-5-21-1275210071-117609710-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> DefaultScope - brak wartości Toolbar: HKU\S-1-5-21-1275210071-117609710-725345543-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2015-09-12] S4 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 gusvc; "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe" [X] S3 catchme; \??\C:\DOCUME~1\XYZ\USTAWI~1\Temp\catchme.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\AVerTV\Instrukcja obsługi AVerTV.lnk C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{D0D2D26A-1897-4722-8D38-ACD6B505FA98} C:\Documents and Settings\XYZ\Dane aplikacji\Microsoft\Office\Niedawny\Og oszenie dot. naboru do Studenckiej Poradni Prawnej.docx.LNK C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\lenovo\AppData\Local\Google Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: type "C:\Qoobox\Combofix-quarantined-files.txt" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition.txt. Dołącz też plik fixlog.txt. Napisz też z czym masz obecnie problem, bo z poprzedniego opisu trudno wywnioskować co obecnie się dzieje.

Kaspersky'ego narazie zostawimy. Co do dźwięku, czy próbowałeś to?

W logach widać masę adware o których wspominasz, plus coś co wygląda na infekcję routera (Amerykańskie IP w DhcpNameServer): Na ten moment: 1. Przez Panel sterowania odinstaluj: Amazon 1Button App; GamesDesktop 008.005010079; istartsurf uninstall; Setup. Jeżeli któryś z wpisów nie chce się odinstalować - pomiń go i kontynuuj z następnym. Dodatkowo, masz zainstalowane obecnie dwa antywirusy: ESET Smart Security 8.0 oraz McAfee Internet Security. W takim stanie "gryzą się" one ze sobą i potrafią narobić masę szkód. Odinstaluj jednego z nich. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 3. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając Addition.txt i Shortcut.txt.

Log ze stacjonarki czysty. Nie ma szans, żeby coś takiego się działo, a jeżeli nawet to pewnie więcej osób by to odczuło. Prędzej podejrzewałbym G-Data o pewnego rodzaju nadwrażliwość. Co do laptopa, odinstaluj testowo ESET Endpoint Security i sprawdź czy problem z siecią nadal występuje.

W logach poza drobnymi odpadkami widać tylko zmienioną stronę startową Opery na viceice, po istartsurf natomiast brak śladu. Na początek spróbujemy sprzątnąć co widać, potem poszukamy wpisów istartsurf. 1. Przez Panel sterowania odinstaluj marnej reputacji Trojan Killer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-1545690670-3743458166-3130793004-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho CHR HKU\S-1-5-21-1545690670-3743458166-3130793004-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho Task: {365B485B-5631-456E-9715-1452830E1A28} - System32\Tasks\PTQQF => C:\Users\Magdalena\AppData\Roaming\PTQQF.exe Task: {383E48A2-73FB-4877-8749-9CAB4217B0DC} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {3B2B29B1-9BB5-4E69-93D7-F0DA44A03C89} - \YTDownloader -> Brak pliku Task: {4D32CB91-AA58-4B61-B003-27DAA2F26BA7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {5440DF12-C2AD-4808-A80D-3BEB8329D3FD} - System32\Tasks\QGPO => C:\Users\Magdalena\AppData\Roaming\QGPO.exe Task: {572A760A-B678-4B02-A4F6-D2A54EFF7CD1} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {692C9D8D-4938-4E4D-B033-BAD451197FC0} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6C524208-2B21-40B7-A964-2D850E7E6AB5} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {72DA7165-A8F7-46A0-A813-69BA621EA72E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {7BF2A981-31D8-4735-8800-DD100BB5C6F7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C9AEE9BE-D304-4029-867F-457499FF10AF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E79FC726-43D2-4026-B05E-C7162E7626C7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {ED65EE34-532A-4DDB-ABD1-E05FCA399BDE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {FE25FB62-CC1C-43E0-9EF6-9AA0D77DEAC4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F4E52FAF-B5BE-4476-BF58-6830C80A03EC} - System32\Tasks\{7D22AB06-464C-48AF-8D25-61562158F8A6} => pcalua.exe -a C:\Users\Magdalena\AppData\Roaming\webssearches\UninstallManager.exe -c -ptid=obw Task: C:\WINDOWS\Tasks\PTQQF.job => C:\Users\Magdalena\AppData\Roaming\PTQQF.exe Task: C:\WINDOWS\Tasks\QGPO.job => C:\Users\Magdalena\AppData\Roaming\QGPO.exe C:\Users\Magdalena\AppData\Roaming\webssearches C:\Users\Magdalena\AppData\Roaming\PTQQF.exe C:\Users\Magdalena\AppData\Roaming\QGPO.exe C:\Program Files (x86)\YTDownloader Reg: reg delete HKU\S-1-5-21-1545690670-3743458166-3130793004-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.