Nevan

W logach nie ma się do czego przyczepić, ale na wszelki wypadek dorzuć brakujący log z GMER: KLIK. Od siebie dorzucę, że parę dni temu też dostałem taki komunikat, więc raczej nie ma się czym martwić. Jest natomiast inna rzecz. W Dzienniku zdarzeń widać błąd wskazujący na problem sprzętowy - bad sectory dysku: Załóż nowy temat w dziale Hardware na temat tego problemu z dyskiem, pamiętając o zasadach tego działu.

Wygląda na to, że mamy doczynienia z nowym wariantem infekcji, ładującym się z pliku bez żadnego rozszerzenia. Musimy go jednak najpierw znaleźć. Otwórz Notatnik i wklej w nim: CMD: WHERE /r "C:\Program Files\Mozilla Firefox" *cfg* /t Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. PS. Nie musisz robić nowego skanu FRST, wystarczy sam Fixlog.

W logach faktycznie siedzi Brontok, oprócz tego ślady adware. Do tematu nośników zewnętrznych wrócimy później. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42654 2014-04-29] () C:\Windows\ShellNew\sempalong.exe HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\BerasJatah.exe" [42654 ] () C:\Windows\BerasJatah.exe HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Run: [Ejvave] => C:\Users\Olszewski\AppData\Roaming\Ejvave.exe [796723 2015-08-30] (IORISOFT) HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Olszewski\AppData\Local\smss.exe [42654 2014-04-29] () HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\Olszewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2015-04-22] () GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms} SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms} 2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\Users\Olszewski\AppData\Roaming\DYA_OHVLCOUWMHUOJBBNL 2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\Users\Olszewski\SupTab 2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\ProgramData\DYA_OHVLCOUWMHUOJBBNL 2015-08-30 12:10 - 2015-08-30 12:10 - 0796723 ____H (IORISOFT) C:\Users\Olszewski\AppData\Roaming\Ejvave.exe C:\Users\Olszewski\AppData\Local\*bron* C:\Users\Olszewski\AppData\Local\*.exe C:\Users\Olszewski\AppData\Local\*.txt AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade\GameSpy Arcade.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade\Uninstall GameSpy Arcade.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Auto Configure.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\EA Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\EAsy Info.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Medal of Honor Allied Assault.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Read Me.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Register MOHAA.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Renegade Preview.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Safe Mode.lnk C:\Users\Olszewski\AppData\Local\Microsoft\Windows\GameExplorer\{ADEDB02C-E7CF-4CD8-8297-A7D58470C6A1} C:\Users\Olszewski\AppData\Local\Microsoft\Windows\GameExplorer\{103819EC-3EF4-432C-991C-6F3284B71B3A} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj stare wersje Java: Java 7 Update 51 (64-bit); Java 7 Update 51. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznaczając również Pliki z 90 dni, wraz z logiem Addition.txt. Dołącz też plik fixlog.txt.

Dzięki nazwie infekcji prawdopodobnie udało mi się znaleźć rozwiązanie Na początek pobór danych. Otwórz Notatnik i wklej w nim: CMD: type "C:\Program Files\Mozilla Firefox\browser\defaults\preferences\prefs.js" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Jesteś pewien, że w folderze C:\AdwCleaner nie ma raportów od AdwCleanera? Jeżeli są, przedstaw wszystkie z nazwą AdwCleaner[CX] (zamiast X będą liczby). To samo z raportem Malwarebytes - w programie wejdź w Historia > Raporty aplikacji i znajdź najnowszy Raport skanowania. Co do reklam, czy są one losowe, czy jakoś się powtarzają? Jakaś fraza lub cokolwiek, co mogłoby nakierować na nazwę infekcji.

Przeoczyłem dwa wpisy, teraz powinno być dobrze Otwórz Notatnik i wklej w nim: FF HKLM\...\Firefox\Extensions: [4f87499f15fba@4f87499f15fbc.info] - C:\Users\samsung\AppData\Roaming\Mozilla\Firefox\Profiles\slocixry.default\extensions\4f87499f15fba@4f87499f15fbc.info FF HKLM\...\Firefox\Extensions: [5107f287f355d@5107f287f3594.com] - C:\Users\samsung\AppData\Roaming\Mozilla\Firefox\Profiles\slocixry.default\extensions\5107f287f355d@5107f287f3594.com Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Fix akurat zbyt wiele nie zrobił (czyszczenie plików tymczasowych + ogólne sprzątanie), co nie zmienia faktu, że log jest czysty. Kilka kosmetycznych poprawek: 1. Przez Panel sterowania odinstaluj stare wersje programów: FileZilla Client 3.12.0.2; Java 8 Update 40 (64-bit); Java 8 Update 40; Java SE Development Kit 8 Update 40 (64-bit); Adobe Flash Player 18 NPAPI; Adobe Reader XI (11.0.12) - Polish. 2. Pobierz najnowsze wersje tychże programów, uruchom DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W sytuacji, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje, korzystaj z opcji Edytuj. Posty sklejam. W logach faktycznie widać adware, które najwyraźniej siedzi tam od dłuższego czasu, a winowajcą wydaje się być crack do gry Grand Theft Auto V: 1. Przez Panel sterowania odinstaluj: Adobe Flash Player 18 NPAPI; IncludeFoobar; IncrementProc. 2. Przeinstaluj zmodyfikowane na typ "development" Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając log Addition i Shortcut.

Mój błąd. Nie zauważyłem, że globalupdate jest ukryty. W logach widać, że problem zaczął się od tego pliku, więc go też usuwamy: Przechodzimy do czyszczenia. 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...0c966feabec1\InprocServer32: [Default-shell32] UWAGA! ====> ZeroAccess? HKU\S-1-5-21-4013461272-253353711-3654097772-1003\...\Winlogon: [shell] C:\Windows\explorer.exe [2926592 2009-04-11] (Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f BHO: Downaloiaade kkeepier -> {218C9709-FB65-D840-83E8-0387EBF1847A} -> C:\ProgramData\Downaloiaade kkeepier\BNf4.dll Brak pliku Handler: empbook - {F4673987-2C36-49e4-B23C-29DF753D84A5} - C:\Program Files\eMPendium\eMPendiumHandler.dll Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2010-12-12] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins FF Plugin HKU\S-1-5-21-4013461272-253353711-3654097772-1003: @tools.google.com/Google Update;version=3 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku FF Plugin HKU\S-1-5-21-4013461272-253353711-3654097772-1003: @tools.google.com/Google Update;version=9 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku 2015-09-18 22:09 - 2015-09-23 18:18 - 00000004 _____ C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7 2015-09-18 22:03 - 2015-09-18 22:03 - 00000000 ____D C:\Program Files\mbot_pl_014010090 2015-09-18 22:02 - 2006-09-18 23:41 - 00000761 _____ C:\Windows\system32\Drivers\etc\hp.bak 2015-09-18 21:58 - 2015-09-18 21:58 - 00000000 ____D C:\Users\Public\QiYi 2015-09-18 21:57 - 2015-09-18 21:57 - 00000000 ____D C:\Program Files\baidu 2015-09-18 21:55 - 2015-09-18 21:55 - 00979104 _____ C:\Users\samsung\Downloads\march2014datafiles.zip__15047_i1658826585_il2702870.exe 2012-10-25 17:47 - 2012-10-25 17:47 - 83023306 ____T () C:\ProgramData\0tbpw.pad CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{022105BD-948A-40C9-AB42-A3300DDF097F}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\GoogleUpdate.exe" Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.135\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.25.5\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.27.5\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{22181302-A8A6-4F84-A541-E5CBFC70CC43}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{2F0E2680-9FF5-43C0-B76E-114A56E93598}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.23.9\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.1\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.145\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.123\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.153\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.13\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.24.15\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.149\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.22.3\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.165\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C3101A8B-0EE1-4612-BFE9-41FFC1A3C19D}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.26.9\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C442AC41-9200-4770-8CC0-7CDB4F245C55}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\npGoogleUpdate3.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.115\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.25.11\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E67BE843-BBBE-4484-95FB-05271AE86750}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\GoogleUpdateOnDemand.exe" Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.28.15\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.22.5\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.21.111\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\samsung\AppData\Local\Google\Update\1.3.24.7\psuser.dll Brak pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00BB2763-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00BB2765-6A77-11D0-A535-00C04FD7D062}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{00EEBF57-477D-4084-9921-7AB3C2C9459D}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{03C036F1-A186-11D0-824A-00AA005B4383}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{047A9A40-657E-11D3-8D5B-00104B35E7EF}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0A29FF9E-7F9C-4437-8B11-F424491E3931}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0AF10CEC-2ECD-4B92-9581-34F6AE0637F3}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0B91A74B-AD7C-4A9D-B563-29EEF9167172}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{0C15D503-D017-47CE-9016-7B3F978721CC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{16F3DD56-1AF5-4347-846D-7C10C4192619}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{275C23E2-3747-11D0-9FEA-00AA003F8646}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{35786D3C-B075-49B9-88DD-029876E11C01}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{40DD6E20-7C17-11CE-A804-00AA003CA9F6}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{4336A54D-038B-4685-AB02-99BB52D3FB8B}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{46408325-AF70-4AB0-90D9-7B1779C1AD87}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{4DF0C730-DF9D-4AE3-9153-AA6B82E9795A}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{50EF4544-AC9F-4A8E-B21B-8A26180DB13F}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{527C9A9B-B9A2-44B0-84F9-F0DC11C2BCFB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{5C65F4B0-3651-4514-B207-D10CB699B14B}\localserver32 -> "C:\Users\samsung\AppData\Local\Google\Chrome\Application\45.0.2454.93\delegate_execute.exe" Brak pl (dane wartości zawierają 3 znaków więcej). CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{603D3800-BD81-11D0-A3A5-00C04FD706EC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{6311429E-2F1A-4777-880F-C7289FD10169}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{640167B4-59B0-47A6-B335-A6B3C0695AEA}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{71C3BF7F-682F-4B5E-9E47-5C25D3AC9458}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{72213061-C9BC-40BE-A916-A28F5FBA091E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{72EB61E0-8672-4303-9175-F2E4C68B2E7C}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{76765B11-3F95-4AF2-AC9D-EA55D8994F1A}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{77F419AA-771A-45FF-AC66-7567FA3243D3}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{7842554E-6BED-11D2-8CDB-B05550C10000}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{807563E5-5146-11D5-A672-00B0D022E945}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{82C588E7-E54B-408C-9F8C-6AF9ADF6F1E9}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{84465401-2886-4CE0-AF50-C0560226ED40}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{85E94D25-0712-47ED-8CDE-B0971177C6A1}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{87123A30-0975-417D-9457-10066C5B69C3}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{88D96A05-F192-11D4-A65F-0040963251E5}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{88D96A06-F192-11D4-A65F-0040963251E5}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{88D96A0C-F192-11D4-A65F-0040963251E5}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{8E85D0CE-DEAF-4EA1-9410-FD1A2105CEB5}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{8F170678-2A97-4D59-89A1-7A0A71C1B677}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{9113A02D-00A3-46B9-BC5F-9C04DADDD5D7}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{920E6DB1-9907-4370-B3A0-BAFC03D81399}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{99FD978C-D287-4F50-827F-B2C658EDA8E7}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{9A2B23E4-2A50-48DB-B3C3-F5EA12947CB8}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{9CFC2DF3-6BA3-46EF-A836-E519E81F0EC4}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B056521A-9B10-425E-B616-1FCD828DB3B1}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B155BDF8-02F0-451E-9A26-AE317CFD7779}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B5F8350B-0548-48B1-A6EE-88BD00B4A5E7}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{B8967F85-58AE-4F46-9FB2-5D7904798F4B}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C1F63D0C-4CAE-4907-BE74-EEB75D386ECB}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{C5621364-87CC-4731-8947-929CAE75323E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CA554A15-4410-45C9-B5C1-20DE052D9CD3}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CACAF262-9370-4615-A13B-9F5539DA4C0A}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CB2F6723-AB3A-11D2-9C40-00C04FA30A3E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{CC4014F5-B18D-439C-9352-F99D984CCA85}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{DFFACDC5-679F-4156-8947-C5C76BC0B67F}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E5CB7A31-7512-11D2-89CE-0080C792E5D8}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{E6D78900-BB40-4039-9C54-593A242B65DA}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{EDB5F444-CB8D-445A-A523-EC5AB6EA33C7}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{F3364BA0-65B9-11CE-A9BA-00AA004AE837}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{F5078F32-C551-11D3-89B9-0000F81FE221}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-4013461272-253353711-3654097772-1003_Classes\CLSID\{FE841493-835C-4FA3-B6CC-B4B2D4719848}\InprocServer32 -> Brak ścieżki do pliku Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_pl_005010091" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iLivid" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_pl_014010091" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PrivitizeVPN" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f Task: {386BB16C-A800-4FC3-9E8C-6EE2AEAB1DB2} - System32\Tasks\{45B2C3A5-0CBB-45EF-934E-6005D64316CF} => pcalua.exe -a D:\cm0102v3968-20060922131937KUVQ2.exe -d "C:\Program Files\Mozilla Firefox" Task: {4E01E928-3DB3-4D22-AA2C-9A5881FDEDBD} - System32\Tasks\task30081516 => C:\Windows\Temp\_ex-08.exe Task: {6A012EA9-B28B-48AC-87C0-572BC9FA1A49} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4013461272-253353711-3654097772-1003Core => C:\Users\samsung\AppData\Local\Google\Update\GoogleUpdate.exe Task: {8B49AD94-45B3-4ED4-B53A-A2A0C347E61E} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4013461272-253353711-3654097772-1003UA => C:\Users\samsung\AppData\Local\Google\Update\GoogleUpdate.exe Task: {96531A47-614E-4BF9-897A-A2E7A4620216} - \ZoomExUpdaterTask{2F0E7216-A2D5-4E4B-A67E-54607E3D3C0F} -> Brak pliku Task: {AE2ACCD1-B367-48F7-BA3F-346FA4DD88B4} - System32\Tasks\{BC09892F-C719-47CD-93B2-D1FA9BD9C8BB} => pcalua.exe -a C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe -c /M{07A540AB-D785-11D5-8E89-0090275862A0} AlternateDataStreams: C:\Users\samsung\Downloads\march2014datafiles.zip__15047_i1658826585_il2702870.exe:typelib FirewallRules: [{86A1C3B8-E09F-4FA3-B28E-3D2DC7960532}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe FirewallRules: [{613BFA9B-4795-471E-851E-83B3F7D9E443}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe FirewallRules: [{C747F077-82EA-4F27-96CF-0FB15D00EB02}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe FirewallRules: [{63BC66FA-EF83-4A90-B253-1E2983826518}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe FirewallRules: [{D902D01E-2D28-4FCE-9DFD-E6CE56875C8A}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe FirewallRules: [{8007F4D8-B272-4F63-BC64-96DFC72D7D3C}] => (Allow) C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe FirewallRules: [{723FD159-30B1-4B51-9712-6885F96B69C6}] => (Allow) C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe FirewallRules: [{1843A4B0-0FA0-4B8D-86E2-4F6DEA395DDC}] => (Allow) C:\ProgramData\EmailNotifier\EmailNotifier.exe FirewallRules: [{86063E44-8398-475E-B672-1C336C505DEC}] => (Allow) C:\ProgramData\EmailNotifier\EmailNotifier.exe FirewallRules: [TCP Query User{62FE6BBF-1C1B-48DA-BF0F-DE5AAD2C3690}C:\users\samsung\appdata\roaming\filehunter\pumpa.exe] => (Allow) C:\users\samsung\appdata\roaming\filehunter\pumpa.exe FirewallRules: [uDP Query User{6D9D244A-2B8A-4F2B-9BBA-BFC3B6401171}C:\users\samsung\appdata\roaming\filehunter\pumpa.exe] => (Allow) C:\users\samsung\appdata\roaming\filehunter\pumpa.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Skoryguj niepoprawny skrót IE: W pasku adresów eksploratora wklej ścieżkę C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet Explorer (No Add-ons).lnk > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i parametr -extoff 6. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Do dodawania nowych informacji gdy nikt jeszcze nie odpowiedział używaj opcji Edytuj. Posty sklejam. Nie prosiłem o loga z HiJackThis, to narzędzie jeszcze starsze niż OTL. Do tego ciągle brakuje loga z GMER. Uzupełnij: KLIK. W logach FRST nie widać infekcji. Ciągle widać natomiast działający antywirus Comodo, który prosiłem wcześniej, abyś usunął. Odinstaluj przez Panel Sterowania COMODO Antivirus, zrestartuj system, a następnie zrób nowe logi z FRST: FRST.txt oraz Addition.txt. Do tego log z GMER o który prosiłem wyżej.

Obecne polityki Chrome oraz zmieniona strona startowa IE:

Pokaż nowe logi z FRST. W poprzednich było widać parę szkodliwych wpisów, więc trzeba się uperwnić, że już ich tam nie ma.

W międzyczasie zdążyło się wgrać adware Crossbrowse... 1. Przez Panel sterowania odinstaluj: Crossbrowse. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\...\Run: [Web Companion] => C:\Program Files\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84&q={searchTerms} HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.oursurfing.com/?type=hp&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84 HKU\S-1-5-21-1113750723-2783305751-3862205039-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84&q={searchTerms} SearchScopes: HKU\S-1-5-21-1113750723-2783305751-3862205039-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1443016701&z=5c36aac28717cb7a9726579gbzdz6c2e9gfqcm3eeg&from=amt&uid=st3500320as_9qm2xw84xxxx9qm2xw84&q={searchTerms} FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dorota\AppData\Roaming\Mozilla\Firefox\Profiles\l7djzfrf.default\extensions\deskCutv2@gmail.com R2 ihpmServer; C:\Program Files\RayDld\ihpmServer.exe [268520 2015-09-09] () 2015-09-23 16:02 - 2015-09-23 16:02 - 00000000 ____D C:\Program Files\85bc05d8-39d4-455f-8122-e089b8bd2777 2015-09-23 16:01 - 2015-09-24 09:14 - 00000000 ____D C:\Program Files\CinemaP-1.9cV23.09 2015-09-23 16:01 - 2015-09-24 00:01 - 00000004 _____ C:\Windows\system32\029B560A371F4E00AB32838EBC01B9E7 2015-09-23 16:00 - 2015-09-23 16:00 - 00000000 ____D C:\Program Files\RayDld 2015-04-19 14:20 - 2015-04-19 14:20 - 0005872 _____ () C:\Users\Dorota\AppData\Roaming\dle7ovV8AKfDwn55qyI3OuVZh 2015-04-20 16:05 - 2015-04-20 16:05 - 1579520 _____ () C:\Users\Dorota\AppData\Roaming\dle7ovV8AKfDwn55qyI3OuVZh.exe 2015-04-14 18:28 - 2015-04-14 18:28 - 0004387 _____ () C:\Users\Dorota\AppData\Roaming\Qp9CObiTvyDNBKMXCIBt 2015-04-20 16:05 - 2015-04-20 16:05 - 1246720 _____ () C:\Users\Dorota\AppData\Roaming\Qp9CObiTvyDNBKMXCIBt.exe 2015-09-20 12:52 - 2015-09-20 12:52 - 00000000 ____D C:\Users\Dorota\AppData\Local\Chromium 2015-09-25 10:26 - 2015-08-14 10:37 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft Task: {590A81CD-1367-4FBF-81B3-9EE270DE7887} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-11 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-11.exe [2015-09-23] (Cinema PlusV23.09) Task: {79CE1172-9A36-4B1C-95FE-8B6D3D817037} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-3 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-3.exe [2015-09-23] (Cinema PlusV23.09) Task: {7F37594D-0E0F-4170-A4E3-6CE4BE9F2A58} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-6 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-6.exe [2015-09-23] (Cinema PlusV23.09) Task: {98307E27-F97F-4C89-A10F-FC7AB2577CB5} - System32\Tasks\dle7ovV8AKfDwn55qyI3OuVZh => C:\Users\Dorota\AppData\Roaming\dle7ovV8AKfDwn55qyI3OuVZh.exe [2015-04-20] () Task: {B052987A-302D-48EC-8E33-A669C5A006DE} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-5 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-5.exe [2015-09-23] (Cinema PlusV23.09) Task: {B09DBE1A-847E-4778-A24C-4E0DFB2B8E68} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-5_user => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-5.exe [2015-09-23] (Cinema PlusV23.09) Task: {B2D22B69-5533-4E9D-9CD6-76FD21F01BED} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-1-7 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-1-7.exe [2015-09-23] (Cinema PlusV23.09) Task: {D37D031B-1451-41A4-A1E2-7D6E6D542C4C} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-1-6 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-1-6.exe [2015-09-23] (Cinema PlusV23.09) Task: {D43E8204-2FC0-4458-BE8E-F05C8256A71A} - System32\Tasks\Qp9CObiTvyDNBKMXCIBt => C:\Users\Dorota\AppData\Roaming\Qp9CObiTvyDNBKMXCIBt.exe [2015-04-20] () Task: {FB8635C3-DAC0-4515-A43E-E94571D7C9C9} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-7 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-7.exe [2015-09-23] (Cinema PlusV23.09) Task: {FD7D237F-4970-4878-B2D8-C00CBA4D9CB9} - System32\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-4 => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-4.exe [2015-09-23] (Cinema PlusV23.09) Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-1-6.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-1-6.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-1-7.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-1-7.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-10_user.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-10.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-11.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-11.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-3.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-3.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-4.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-4.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-5.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-5.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-5_user.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-5.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-6.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-6.exe Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-7.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-7.exe Task: C:\Windows\Tasks\dle7ovV8AKfDwn55qyI3OuVZh.job => C:\Users\Dorota\AppData\Roaming\dle7ovV8AKfDwn55qyI3OuVZh.exe Task: C:\Windows\Tasks\Qp9CObiTvyDNBKMXCIBt.job => C:\Users\Dorota\AppData\Roaming\Qp9CObiTvyDNBKMXCIBt.exe IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com Task: C:\Windows\Tasks\951a9b41-c647-4615-bf02-94b5849a653f-10_user.job => C:\Program Files\CinemaP-1.9cV23.09\951a9b41-c647-4615-bf02-94b5849a653f-10.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer\ALLPlayer Skin Creator.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{C73812E3-DAFA-4508-B474-73F8B9471F8F} C:\Users\Dorota\Desktop\CYTADELA\potrety\Page Nakamura\SN.xcf.lnk C:\Users\Dorota\Desktop\CYTADELA\planety\pier.xcf.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CinemaP-1.9cV23.09 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj CinemaP-1.9cV23.09 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Skoryguj niepoprawnie naprawiony skrót IE: W pasku adresów eksploratora wklej ścieżkę C:\Users\Dorota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet Explorer (No Add-ons) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i parametr -extoff 6. Korzystasz z Tor Browser. Uruchom go i sprawdź, czy wszystko z nim w porządku i czy aby czasem nie występują przekierowania. 7. Błędy w logach pokazują niepoprawnie odinstalowany filtr sieciowy Avast: Wejdź w Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście znajdź avast! Firewall NDIS Filter Miniport, podświetl go, odinstaluj i zrestartuj system. 8. Zrób nowe logi FRST z opcji Skanuj (Scan), wliczając Addition i Shortcut. Dołącz też plik fixlog.txt.

W logach widać m.in. czynne adware oraz niepoprawnie usunięty ZeroAccess. Na tę chwilę: 1. Przez Panel sterowania odinstaluj: Stare wersje i zbędniki: Adobe Shockwave Player 12.0; Java 7 Update 67; Java 8 Update 45; Java™ 6 Update 22; JavaFX 2.1.0; McAfee Security Scan Plus; OpenOffice.org 3.2 Stara paczka kodeków: K-Lite Codec Pack 4.3.4 (Full) Adware/PUP: globalupdate Helper; Malwarebytes Anti-Malware Packages 2. Zrób nowe logi FRST z opcji Skanuj (Scan), włączając log Addition.txt.

Co to za logi Search.txt oraz Fixlog.txt? Skąd je wziąłeś? Do tego brakuje loga z GMER: KLIK. Uzupełnij. Poza tym, logi z FRST pochodzą z konta limitowanego Dawid. Zaloguj się na konto Jacek Chochół i z niego wykonaj logi FRST, według odpowiednich instrukcji: KLIK.

Masz zainstalowany OpenOffice.org 3.2, przy czym nie dość, że najnowsza wersja to 3.3, to jeszcze rozwój programu nie jest kontynuowany. Do tego dochodzi sam fakt bezpieczeństwa (np. istnieją infekcje ładujące się przez skrypty w dokumentach) oraz brak współpracy z nowymi wersjami Java. Obecnie występuje on pod nazwą Apache OpenOffice, którego najnowsza wersja to 4.1.1, i w taką też powinieneś się zaopatrzyć po deinstalacji poprzedniej. Oczywiście wykonanie reszty kroków nadal obowiązuje.

OK, jeszcze tylko finalne kroki. 1. Zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle.

W logach widać czynne infekcje, które najwidoczniej zaczęły się od pobrania i uruchomienia tego pliku: C:\Users\Dorota\Desktop\Fallout Shelter v1.1.320 Mod & Mega Mod For Android is Here ! [UPDATED]__15047_i1670863293_il18495.exeNa początek: 1. Przez Panel sterowania odinstaluj: Adware: CinemaP-1.9cV23.09 oraz oursurfing. Stare wersje i zbędne programy: Adobe AIR; Adobe Community Help; Adobe Flash Player 18 NPAPI; Adobe Flash Player 18 PPAPI; Adobe Media Player; FileZilla Client 3.8.0; Java 8 Update 31; Web Companion. 2. Zrób nowy log FRST z opcji Skanuj (Scan), wliczając log Addition.txt.

Czyli mam rozumieć, że pozbyłeś się problemu także z drugiego pendrive'a?

Zabieramy się do roboty. 1. W Dzienniku zdarzeń widać błędy kontrolera dysku. Zweryfikuj transfer dysku w części Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK 2. Przez Panel sterowania odinstaluj: Stare wersje i zbędne programy: Adobe AIR; Adobe Shockwave Player 11.5; Gadu-Gadu 10; Java 7 Update 55; JavaFX 2.1.1; McAfee Security Scan Plus; OpenOffice.org 3.2; Opera 12.16 Koszmarnie stary antywirus: Panda Antivirus Pro 2010 Po skończeniu przeprowadź restart systemu. 3. Skoryguj niepoprawnie naprawiony przez AdwCleaner skrót IE: W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\Tomal2\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i parametr -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-606747145-1677128483-1417001333-1003\...\MountPoints2: {0c121681-f053-11e2-9b3b-001d60f81eb8} - F:\wubi.exe HKU\S-1-5-21-606747145-1677128483-1417001333-1003\...\MountPoints2: {c64795d6-0646-11e2-97fb-001d60f81eb8} - F:\RunClubSanDisk.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-606747145-1677128483-1417001333-1003 -> {5F970FDE-702B-4ef9-920C-5F2848A5AF26} URL = hxxp://www.astroburn-search.com/search/web?q={searchTerms} BHO: BitAcceleratorBHO Class -> {CAC42510-9B41-42c1-9DCD-7282A2D07C61} -> C:\Program Files\BitAccelerator\BitAccelerator.dll [2012-10-30] (TODO: ) C:\Program Files\BitAccelerator FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2012-06-19] FF HKLM\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 FF Extension: DivX Plus Web Player HTML5 &video& - C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2013-02-19] CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2013-02-07] CustomCLSID: HKU\S-1-5-21-606747145-1677128483-1417001333-1003_Classes\CLSID\{53D7E4EF-4DFB-45BE-B9CC-A0243AECB238}\InprocServer32 -> C:\Poker\Titan Poker\widgetbar\WidgetbarContainerUI.dll Brak pliku C:\Documents and Settings\All Users\Dane aplikacji\TEMP CustomCLSID: HKU\S-1-5-21-606747145-1677128483-1417001333-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-606747145-1677128483-1417001333-1003_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-606747145-1677128483-1417001333-1003_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-606747145-1677128483-1417001333-1003_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-606747145-1677128483-1417001333-1003_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> C:\Documents and Settings\Tomal2\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts\Alert.dl (dane wartości zawierają 12 znaków więcej). C:\Documents and Settings\Tomal2\Ustawienia lokalne\Dane aplikacji\Conduit C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Software Director Scheduler.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Tomal2^Menu Start^Programy^Autostart^OpenOffice.org 3.2.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppsHat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bdraw" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CPN Notifier" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_59" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HEXelon MAX" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pwo7" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upfst_pl_59.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Window update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{55ED5905-56D1-164E-7561-C4F3B7E33A5D}" /f C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\Software Director Scheduler.lnkCommon Startup C:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup C:\Documents and Settings\Tomal2\Pulpit\Nowy folder\AppsHat.lnk C:\Documents and Settings\Tomal2\Pulpit\Nowy folder\Optimizer Pro.lnk Hosts: CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 6. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj DivX Plus Web Player HTML5 Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 7. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Dodatkowo: W folderach umieszczonych na Pulpicie widać dużo pustych skrótów. Przejrzyj ręcznie foldery i usuń te skróty, które się nie uruchamiają.

Z logów wynika, że folder nie jest w żaden sposób ukryty, ma jedynie zmienioną nazwę na " " (nie jest to spacja, a jedynie znak tak wyglądający). Fakt, że go nie widzisz wynika pewnie z tego, że folder ma też zmienioną ikonę na taką bez żadnego obrazka. Z podpiętym pendrivem spróbuj zmienić nazwę folderu używając wierszu polecenia. Jeżeli będzie miał inną literkę niż F: to zmień ją w komendzie na poprawną: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: cd /D F: A następnie: ren " " "folder" Sprawdź, czy folder wrócił na swoje miejsce (powinien mieć nazwę folder).

Trudno cokolwiek powiedzieć działając bez wiarygodnych logów (OTL to przestarzałe narzędzie). Widzę jednak, że działają u Ciebie dwa antywirusy: Avast i Comodo. Nie powinno się tego robić, ponieważ w takiej sytuacji mogą one narobić szkód. Odinstaluj jednego z nich. Biorąc pod uwagę ogólne opinie oraz fakt, że to Comodo zwrócił uwagę na program o którym mówisz, zostawiłbym Avasta. Dopiero po tym dostarcz potrzebne logi w oparciu o z ten temat: FRST.txt, Addition.txt, Shortcut.txt oraz GMER.

W logach nie widać zbyt dużo. Są niewielkie ślady adware, ale raczej nie przekłada się to na problemy, które opisujesz. Jest za to koszmarnie stary antywirus Panda Antivirus Pro 2010 którym później się zajmiemy. Na początek: 1. Przez Panel sterowania odinstaluj: Akamai NetSession Interface; AppsHat; Astroburn Toolbar; My Program version 1.5. Z powodu sporej liczby zainstalowanych programów i prezentowanych objawów zalecałbym też odinstalowanie tych, których nie używasz. 2. Zrób nowe logi FRST z opcji Skanuj (Scan), pamiętając o tym, aby zaznaczyć Addition.txt.

Widoczna infekcja: AppInit_DLLs: C:\ProgramData\Itstock\Tan-Lux.dll => C:\ProgramData\Itstock\Tan-Lux.dll [883200 2015-09-10] () AppInit_DLLs-x32: C:\ProgramData\Itstock\SoloBam.dll => C:\ProgramData\Itstock\SoloBam.dll [738816 2015-09-21] () R2 Itstock; C:\ProgramData\Itstock\Itstock.exe [38400 2015-09-10] () [brak podpisu cyfrowego] Spróbujemy coś poradzić, ale: 1. Podaj nowe logi z FRST, włączając log Addition. 2. Uzupełnij też brakujący log z GMER. 3. Mówisz, że używałeś MBAM i ComboFix. Podaj z nich logi: MBAM: W programie wejdź w Historia > Raporty aplikacji i znajdź najnowszy Raport skanowania. Combofix: Log znajdziesz na C:\ pod nazwą Combofix.txt

Dlaczego sądzisz, że to akurat ZeroAccess? Jakieś ostrzeżenia od antywirusów? Jeżeli tak, to podaj gdzie znajdują infekcje. Mimo wszystko podaj potrzebne logi. Każdą sprawę rozpatruje się indywidualnie, tym bardziej, że nie ma pewności, że to ZeroAccess.