jessica

OK, wykonane, choć pewnie sytuacji to nie poprawiło.

jessi

strasznie wolno pracuje,zamula,

W logach nie widzę żadnej infekcji.

Kosmetyka:

Otwórz Notatnik i wklej w nim:

fF SearchPlugin: C:\Users\AGROPOL\AppData\Roaming\Mozilla\Firefox\Profiles\ix4210kl.default\searchplugins\do-search.xml [2015-04-26]

FF Extension: Fast Start - C:\Users\AGROPOL\AppData\Roaming\Mozilla\Firefox\Profiles\ix4210kl.default\Extensions\quick_searchff@gmail.com [2015-04-24]

FF HKLM\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\AGROPOL\AppData\Roaming\Mozilla\Firefox\Profiles\ix4210kl.default\extensions\quick_searchff@gmail.com

FF Extension: No Name - C:\Users\AGROPOL\AppData\Roaming\Mozilla\Firefox\Profiles\ix4210kl.default\extensions\sweetsearch@gmail.com [Not Found]

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1429861146&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WCAP9081519215192&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1429861146&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WCAP9081519215192&q={searchTerms}

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\AGROPOL.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\case mx 200.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Case.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Claas jaguar 850 2005r.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\DOMINATOR 96 CLASSIC.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\dominator 98 ds.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\egitto.ppt.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Emil.ppt.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Filtry HM400-1.xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Ogłoszenia.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\OLK6C.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\P1030162.JPG.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\P1030163.JPG.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\P1030164.JPG.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\pisma.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Pismo- korekta VAT UE -1.doc.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Pismo- korekta VAT UE .doc.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Pismo- korekta VAT7.doc.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\PRAWO ADMINISTRACYJNE-1.ppt.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\PRAWO ADMINISTRACYJNE.ppt.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\prezentacja.ppt.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\servisy VAT.xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\SKANOWANIE.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Spis maszyn.xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Stavostrojvv1500.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\szkolne.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\technischer_fragebogen (1).xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\technischer_fragebogen.xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Temp.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Termin składania VAT UE.xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Thumbs.db.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Umowa zlec.styczeń 12.xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\WYJAZD.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\zambosi.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Zapraszam na prezentacje.ppt.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\ZBRODNIA KTÓRA.ppt.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Ziemie polskie w I połowie XIX wieku test Grupa A.doc.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Ziemie polskie w I połowie XIX wieku test Grupa B.doc.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\ZUS.xls.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\ДОГОВІР ПЕРЕВЕЗЕННЯ ВАНТАЖІВ.doc.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Office\Niedawny\Контракт з поляками (на польській мові)2.doc.LNK

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Nero StartSmart Essentials.lnk

C:\Users\AGROPOL\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Uruchom program Microsoft Office Outlook.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

jessi

OPR StartupUrls: "hxxp://www.surfvox.com/"

 

Nie jestem pewna, czy FRST potrafi usuwać z Opery.

Otwórz Notatnik i wklej w nim:

OPR StartupUrls: "hxxp://www.surfvox.com/"

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.

Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

Zrób nowy log z FRST - już bez Additional.

Zaktualizuj Javę, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=43590

jessi

Powinno już być OK.

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

jessi

Coś to rozszerzenie nie daje się usunąć z Chrome.

1) Odinstaluj:

Findwide Toolbar (HKU\S-1-5-21-1794835599-1053917579-465741465-1002\...\{76A20FFC-55AF-4A81-929F-717802341046}) (Version:  - Freshy)

2) Otwórz Notatnik i wklej w nim:

CHR Extension: (browse pulse) - C:\Users\Root\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpnbhkcjipgjlflfjodhekfholcgepjl [2015-04-25]
EmptyTemp:

3) Zrób nowe logi FRST.

jessi

Otwórz Notatnik i wklej w nim:

Toolbar: HKLM - Yahoo Toolbar - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files (x86)\TNT2\2.0.0.1976\IEToolbar64.dll No File
Toolbar: HKLM-x32 - Yahoo Toolbar - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files (x86)\TNT2\2.0.0.1976\ietoolbar.dll No File
FF NewTab: hxxp://services.freshy.com/general/newhometab.php?hometab=tab&partner=11187&guid={76A20FFC-55AF-4A81-929F-717802341046}&i=
FF DefaultSearchEngine: Yahoo:
FF SelectedSearchEngine: Yahoo:
FF Plugin HKU\S-1-5-21-1794835599-1053917579-465741465-1002: @tnt2npapi.com/Plugin -> C:\Users\Root\AppData\Local\TNT2\2.0.0.1976\npTNT2.dll No File
FF SearchPlugin: C:\Users\Root\AppData\Roaming\Mozilla\Firefox\Profiles\jvwv15cu.default\searchplugins\yahoo-1.xml [2015-04-20]
FF Extension: Yahoo Toolbar - C:\Users\Root\AppData\Roaming\Mozilla\Firefox\Profiles\jvwv15cu.default\Extensions\{cf15270e-cf08-4def-b4ea-6a5ac23f3bca}.xpi [2015-04-14]
FF Extension: browse pulse - C:\Users\Root\AppData\Roaming\Mozilla\Firefox\Profiles\jvwv15cu.default\Extensions\{d50ee84a-0149-4b66-8189-96351513c9ee}.xpi [2015-04-23]
HKU\S-1-5-21-1794835599-1053917579-465741465-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://services.freshy.com/general/newhometab.php?hometab=home&partner=11187&guid={76A20FFC-55AF-4A81-929F-717802341046}&i=
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Windows\Minidump\042515-70890-01.dmp
EmptyTemp:

jessi

Wg mnie powinno już być OK.

Ale powinna to jeszcze przejrzeć @Picasso.

Nie wiem, kiedy tu zajrzy, bo jest chora, więc rzadko teraz pomaga.

kessi

1) Odinstaluj ten program:

Search App by Ask (HKLM-x32\...\{4F524A2D-5350-4500-76A7-A758B70C1B00}) (Version: 12.27.0.141 - APN, LLC) <==== ATTENTION

2) Otwórz Notatnik i wklej w nim:

C:\Program Files (x86)\AskPartnerNetwork
HKLM-x32\...\Run: [ApnTBMon] => C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO-x32: browse pulse -> {ed8e593d-1965-4e45-9d55-d56162dcde14} -> C:\Program Files (x86)\browse pulse\Extensions\ed8e593d-1965-4e45-9d55-d56162dcde14.dll No File
C:\Program Files (x86)\browse pulse
FF Extension: browse pulse - C:\Users\Root\AppData\Roaming\Mozilla\Firefox\Profiles\jvwv15cu.default\Extensions\{d50ee84a-0149-4b66-8189-96351513c9ee}.xpi
CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
CHR Extension: (browse pulse) - C:\Users\Root\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpnbhkcjipgjlflfjodhekfholcgepjl
CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-04-10]
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx
R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe
S3 HWiNFO32; \??\C:\Users\Root\AppData\Local\Temp\HWiNFO64A.SYS [X]
C:\Users\molsz_000\Downloads\FL-Studio(27643)-dp.exe
C:\Users\Root\AppData\Roaming\OpenCandy
C:\Windows\Minidump\042015-34781-01.dmp
C:\Windows\Minidump\042015-50140-01.dmp
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

3) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

4) Zrób nowe logi FRST.

jessi

Otwórz Notatnik i wklej w nim:

 C:\ProgramData\{18722e4c-82fd-1f63-1872-22e4c82fb932}
C:\ProgramData\{0b776249-34b3-9941-0b77-7624934b8924}
C:\ProgramData\{bfc81d9b-c477-68ed-bfc8-81d9bc47766f}
EmptyTemp:

jessi

1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

2) Otwórz Notatnik i wklej w nim:

Task: {3C2E12AF-F44E-421F-8ED3-5B406F5C3779} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION
C:\ProgramData\nvxasync
C:\Users\Kaczor\AppData\Roaming\nvxasync
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nvxasync" /f
HKLM-x32\...\Run: [TaskTray] => [X]
HKU\S-1-5-21-3442134853-2633566657-2367740593-1000\...\Run: [nvxasync] => C:\Users\Kaczor\AppData\Roaming\nvxasync\nvxasync.exe [142679040 2015-04-07] ()
HKU\S-1-5-21-3442134853-2633566657-2367740593-1000\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142679040 2015-04-07] () <==== ATTENTION
CHR HKU\S-1-5-21-3442134853-2633566657-2367740593-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Kaczor\AppData\Roaming\Mozilla\Firefox\Profiles\qg57o1fo.default\extensions\fftoolbar2014@etech.com
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Kaczor\AppData\Roaming\Mozilla\Firefox\Profiles\qg57o1fo.default\extensions\faststartff@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox
C:\Program Files (x86)\RelevantKnowledge
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKU\S-1-5-21-3442134853-2633566657-2367740593-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
OPR StartupUrls: "hxxp://www.surfvox.com/"
S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X]
S2 Update BringStar; "C:\Program Files (x86)\BringStar\updateBringStar.exe" [X]
S2 Util BringStar; "C:\Program Files (x86)\BringStar\bin\utilBringStar.exe" [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X]
C:\Users\Kaczor\AppData\Roaming\fpacked.exe
C:\Program Files (x86)\XTab
C:\Program Files (x86)\BringStar
EmptyTemp:

3) Zrób nowe logi FRST.

jessi

Otwórz Notatnik i wklej w nim:

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2562658416-2256838758-2862498726-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
S3 Andbus; system32\DRIVERS\lgandbus64.sys [X]
S3 AndDiag; system32\DRIVERS\lganddiag64.sys [X]
S3 AndGps; system32\DRIVERS\lgandgps64.sys [X]
S3 ANDModem; system32\DRIVERS\lgandmodem64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\PiotrC\Downloads\SpyHunter-Installer.exe
C:\ProgramData\Yellow AdBlocker
C:\Program Files (x86)\DiscountBomb
C:\Program Files (x86)\AppendInit
Folder: C:\ProgramData\{18722e4c-82fd-1f63-1872-22e4c82fb932}
Folder: C:\ProgramData\{0b776249-34b3-9941-0b77-7624934b8924}
Folder: C:\ProgramData\{bfc81d9b-c477-68ed-bfc8-81d9bc47766f}
Folder: C:\ProgramData\{992954e7-a8f1-e719-9929-954e7a8f539e}
EmptyTemp:

jessi

Dodaje skan FSRT oraz GMER. Przepraszam za moja glupote bo nie przeczytalem o wymaganych rzeczach.

 

FRST robi 3 logi brak logów Additional.txt oraz Shortcut.txt.

W logu GMER - nic ciekawego.

jessi

c:\programdata\Yellow AdBlocker

c:\program files (x86)\DiscountBomb

c:\programdata\{963bacb8-53c9-ab71-963b-bacb853cb2e1}

c:\programdata\{0b776249-34b3-9941-0b77-7624934b8924}

c:\programdata\{18722e4c-82fd-1f63-1872-22e4c82fb932}

 

Nie wiem, co to są te powyższe, a ComboFix niezbyt jasno to pokazuje - więc zrób logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/

Zresztą i tak są tu wymagane.

jessi

Naprawdę wieeeeelkie dzięki za pomoc. Jestem zobowiązany Tobie Jessi

Rozumiem, że te pliki fixlog i FRST też mogę usunąć z folderu, w którym się zapisywały ?

Tak.

jessi

Otwórz Notatnik i wklej w nim:

Reg: reg delete "HKU\S-1-5-21-2031439918-1463966556-2640565502-1001\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}" /f
Reg: reg delete "HKU\S-1-5-21-2031439918-1463966556-2640565502-1001\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}" /f
Task: {2DB9F9D1-3C3E-43D6-AB9E-384949F80CE1} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{0BCD6F93-89E4-4118-95E1-2DFF29D5DB90}.exe
CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\Web Assistant\source.crx [Not Found]
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\Web Assistant Updater" /f
C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\Web Assistant\source.crx [Not Found]
CustomCLSID: HKU\S-1-5-21-2031439918-1463966556-2640565502-1001_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> C:\Users\waldek\AppData\Local\Conduit\Community Alerts\Alert.dll No File
CustomCLSID: HKU\S-1-5-21-2031439918-1463966556-2640565502-1001_Classes\CLSID\{824ABE69-AA5B-4EE6-A7CF-25773D21E893}\InprocServer32 -> C:\Users\waldek\AppData\LocalLow\Vuze_Remote\prxtbVuz0.dll No File
CustomCLSID: HKU\S-1-5-21-2031439918-1463966556-2640565502-1001_Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\InprocServer32 -> C:\Users\waldek\AppData\LocalLow\Vuze_Remote\prxtbVuz0.dll No File
C:\Program Files\AVG Web TuneUp
C:\Users\waldek\Desktop\bhp dokumenty\Różne  BHP\BHP i\Ocena ryzyka-dźwiganie\Ocena dźwigania 2 WOD.lnk
EmptyTemp:

Java 8 Update 25 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218025F0}) (Version: 8.0.250 - Oracle Corporation)

 

Uaktualnij Javę, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?do=findComment&comment=43590

Powinno już być OK, więc:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

jessi

Zrób nowe logi FRST

 

Brak logu Additional.txt

Uzupełnij to.

1) Odinstaluj

Dealio Toolbar v10.0 (HKLM\...\{1D321DE0-DD9D-4DCF-8698-C48F34099D0E}) (Version: 10.0 - Spigot, Inc.) <==== ATTENTION

do-search uninstall (HKLM\...\do-search uninstall) (Version:  - do-search) <==== ATTENTION!

Vuze Remote Toolbar (HKLM\...\Vuze_Remote Toolbar) (Version: 6.3.3.3 - Vuze Remote) <==== ATTENTION
Web Assistant 2.0.0.445 (HKLM\...\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1) (Version:  - IB) <==== ATTENTION

AVG Web TuneUp (HKLM\...\AVG Web TuneUp) (Version: 4.1.0.411 - AVG Technologies) - jeśli go nie używasz

2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3) Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-2031439918-1463966556-2640565502-1001\...\Run: [backgroundContainerV2] => "C:\Windows\system32\Rundll32.exe" "C:\Users\waldek\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun
C:\Users\waldek\AppData\Local\Conduit
HKLM\...\Run: [] => [X]
HKLM\...\Run: [searchSettings] => C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
C:\Program Files\Common Files\Spigot
HKU\S-1-5-21-2031439918-1463966556-2640565502-1001\...\Run: [] => [X]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 SNP325; system32\DRIVERS\snp325.sys [X]
C:\Users\waldek\Downloads\StrongRecovery(24584)-dp.exe
C:\Program Files\Mozilla Firefoxavg-secure-search.xml
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

4) Zrób nowe logi FRST.

Co pomogło?

Usunięcie tego:

HKU\S-1-5-21-3664094850-1680449025-3853055335-1000\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit <===== ATTENTION

 

ale u Ciebie (w Twoich logach) tego wcale nie widzę, więc ten prosty sposób odpada.

jessi

Ja w logach nie widzę już niczego podejrzanego.

Kosmetyka:

Otwórz Notatnik i wklej w nim:

HKLM-x32\...\Run: [] => [X]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S1 ArcSec; system32\drivers\ArcSec.sys [X]
S3 PCDSRVC{67F2314B-25F2B3C0-06020200}_0; \??\c:\gencotst\pcdsrvc_x64.pkms [X]
EmptyTemp:

jessi

Ja tu nie widzę niczego podejrzanego.

Kosmetyka:

Otwórz Notatnik i wklej w nim:

HKLM\...\Run: [] => [X]
Reg: reg delete "HKU\S-1-5-21-1284645723-4238519777-3840485311-1001\Software\Microsoft\Internet Explorer\SearchScopes\{E408A8CB-F49D-42EF-BD18-4FBF86416F22}" /f
C:\WINDOWS\Minidump\041815-33578-01.dmp
EmptyTemp:

jessi

@Z powodu choroby @Picasso nie jest w stanie pomagać.

Gdybyś miał jakąś infekcję, to może ja potrafiłabym pomóc, ale u Ciebie nic nie wskazuje na istnienie infekcji.

jessi

Nie przeglądałam dokładnie logów, skupiłam się wyłącznie na "zenigameblinger"

Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-3814783899-1069495249-15194-1000\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org&& exit <===== ATTENTION
EmptyTemp:

jessi

2015-04-17 10:39 - 2015-04-17 10:39 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\pgJv7QIqye34HnxVFQp2AvU

2015-04-17 10:20 - 2015-04-17 10:20 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\3Vn1VN1ivAWgwrF3Dd2FZ

2015-04-17 09:14 - 2015-04-17 09:14 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\2Z0ofjLEZs8cgcCVr

2015-04-16 11:07 - 2015-04-17 10:39 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\startup

2015-04-16 11:07 - 2015-04-16 11:07 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\eg5XuyfZ0ykrIxsvQ

Shortcut: C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\ZgN8ZyBhngoonJjN\ZgN8ZyBhngoonJjN.exe (No File)

Shortcut: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\kSar2vrcUkqx\kSar2vrcUkqx.exe (No File)

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\CCP11s.dll

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cdo1312767964.dll

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cdo1822675921.dll

C:\Documents and Settings\bb\Ustawienia lokalne\Temp\cryptoapi4java.dll

2015-04-17 14:38 - 2015-04-17 16:41 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\kSar2vrcUkqx

2015-04-17 17:44 - 2015-04-17 17:44 - 00000000 ____D () C:\Documents and Settings\bb\Dane aplikacji\C2DMmTRHdH4

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [TaskbarNoNotification] 1

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [HideSCAHealth] 1

Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\drukuj.bat ()

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [!@#$%^&*] => C:\Documents and Settings\bb\Dane aplikacji\startup\sys.exe [512000 2015-04-17] (Acronis)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [eg5XuyfZ0ykrIxsvQ] => c:\documents and settings\bb\dane aplikacji\eg5xuyfz0ykrixsvq\eg5xuyfz0ykrixsvq.exe [812872 2015-04-13] (Google Inc.)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [2Z0ofjLEZs8cgcCVr] => c:\documents and settings\bb\dane aplikacji\2z0ofjlezs8cgccvr\2z0ofjlezs8cgccvr.exe [812872 2015-04-13] (Google Inc.)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [3Vn1VN1ivAWgwrF3Dd2FZ] => c:\documents and settings\bb\dane aplikacji\3vn1vn1ivawgwrf3dd2fz\3vn1vn1ivawgwrf3dd2fz.exe [638816 2009-03-08] (Microsoft Corporation)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [pgJv7QIqye34HnxVFQp2AvU] => c:\documents and settings\bb\dane aplikacji\pgjv7qiqye34hnxvfqp2avu\pgjv7qiqye34hnxvfqp2avu.exe [812872 2015-04-13] (Google Inc.)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [kSar2vrcUkqx] => c:\documents and settings\bb\dane aplikacji\ksar2vrcukqx\ksar2vrcukqx.exe [889976 2015-04-07] (Opera Software)

HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [C2DMmTRHdH4] => c:\documents and settings\bb\dane aplikacji\c2dmmtrhdh4\c2dmmtrhdh4.exe [638816 2009-03-08] (Microsoft Corporation)

HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1

HKLM\...\Policies\Explorer: [HideSCAHealth] 1

 

Dla mnie te obiekty wyglądają na egzotyczne, ale to komputer firmowy, więc mogą na nim być nietypowe obiekty

Lepiej to wyjaśnić.

Znasz je?

W każdym bądź razie skróty, będące na pulpicie, Chrome oraz Opery - do usunięcia, bo przekierowują nie tam, gdzie powinny.

jessi

czy użyć jeszcze raz komendy  sfc /scannow  czy nie ma potrzeby?

 

Nie widzę takiej potrzeby.

Jeszcze kosmetyka:

Otwórz Notatnik i wklej w nim:

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver <===== ATTENTION!

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix.

Zastanawia mnie, co spowodowało "debugging".

W logach nie dostrzegam niczego, co pasowałoby do tego.

CHR Extension: (Listango Bookmark Manager) - C:\Users\MARIO\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmbdkkenkdllkpiognpnmlaglmojagnh [2015-04-17]

CHR Extension: (Bookmark Manager) - C:\Users\MARIO\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-16]

 

Znasz te rozszerzenia w Chrome (mają świeże daty) ?

jessi

Otwórz Notatnik i wklej w nim:

IFEO\avz.exe: [Debugger] svchost.exe
IFEO\CCleaner.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\regedit.exe: [Debugger] svchost.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

Sprawdź, czy działa "regedit".

Zrób nowe logi FRST.

jessi