Skocz do zawartości

jessica

Użytkownicy
  • Postów

    4 099
  • Dołączył

  • Ostatnia wizyta

Odpowiedzi opublikowane przez jessica

  1. Log niczego nie wyjaśnia.

    Widać tylko, że nie ma folderów, w tym tego ze zdjęciami; a zamiast nich są inne obiekty o tych samych nazwach.

    Utraconych danych już raczej nie odzyskasz, ale przydałoby się wyjaśnić, dlaczego te dane zniknęły.

    W tym logu nie widzę żadnej infekcji, więc zrób wymagane logi https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

    Może to pozwoli uniknąć podobnej sytuacji w przeszłości?

     

    jessi

  2. Chyba możemy kończyć:

     

    Otwórz Notatnik i wklej w nim:

     

    S2 SPDRIVER_1.37.0.871; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.871\jsdrv.sys [X]

    S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X]

    DeleteQuarantine:

    EmptyTemp:

     

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

    przez SHIFT+DEL usuń pozostały folder C:\FRST

     

    W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

     

    jessi

  3. 1. Odinstaluj: Akamai NetSession Interface, BitGuard, Delta toolbar, istartsurf uninstall.

     

    2. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

    Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

     

    3. Otwórz Notatnik i wklej w nim:

     

    Task: {3D75E5A8-9B18-4E0A-876E-F2896478E7F2} - System32\Tasks\Installer_sense => C:\Users\Victoria\AppData\Local\Installer\Installsense_300\delay.exe <==== ATTENTION

    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

    Task: {FDB52F42-C03C-4864-A7BF-938DE72F93CE} - System32\Tasks\Installer_iwebar => C:\Users\Victoria\AppData\Local\Installer\Installiwebar_300\delay.exe <==== ATTENTION

    C:\Users\UpdatusUser\Desktop\PDF Blender.lnk

    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Run: [Akamai NetSession Interface] => C:\Users\Victoria\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)

    HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Run: [AdobeBridge] => [X]

    HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=EC87001E101FDB3B&affID=119357&tt=240913_91215&tsp=5016

    HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

    SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=EC87240A64695898&affID=125839&tsp=5038

    SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

    BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.)

    C:\ProgramData\YTAHelper\YTAHelper64.dll

    BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} ->  No File

    Toolbar: HKLM-x32 - No Name - {82E1477C-B154-48D3-9891-33D83C26BCD3} -  No File

    FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    FF DefaultSearchEngine: istartsurf

    FF SelectedSearchEngine: istartsurf

    FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\istartsurf.xml

    FF Extension: Fast Start - C:\Users\Victoria\AppData\Roaming\Mozilla\Firefox\Profiles\d12wegkw.default\Extensions\faststartff@gmail.com

    FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Victoria\AppData\Roaming\Mozilla\Firefox\Profiles\d12wegkw.default\extensions\faststartff@gmail.com

    FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

    CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll No File

    CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File

    CHR Plugin: (WildTangent Games App V2 Presence Detector) - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll No File

    CHR Plugin: (McAfee SecurityCenter) - c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL No File

    C:\ProgramData\YTAHelper

    C:\Program Files\Common Files\ShopperPro

    C:\ProgramData\WindowsMangerProtect

    C:\ProgramData\ShopperPro

    C:\ProgramData\IePluginServices

    C:\WINDOWS\System32\Tasks\Installer_iwebar

    C:\WINDOWS\System32\Tasks\Installer_sense

    C:\Users\Public\Documents\YTAHelper

    C:\Users\Public\Documents\ShopperPro

    C:\Users\Public\Documents\GOOBZO

    C:\Program Files (x86)\YTAHelper

    C:\Program Files (x86)\SupTab

    C:\Users\Victoria\AppData\Roaming\istartsurf

    C:\WINDOWS\system32\sru

    C:\ProgramData\SetStretch.exe

    C:\ProgramData\SetStretch.VBS

    EmptyTemp:

     

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

     

    4. Zrób nowe logi z FRST.

     

    5. Zainstaluj nowszą, bezpieczniejszą wersję Javy 32-bit: KLIK. Być może trzeba też zainstalować nowszą wersję Javy 64 bit

     

     

     

     

    jessi

  4. @Picasso na razie nie ma czasu przeglądac logów, a ja w nich nie widzę żadnej infekcji.

     

    Kosmetyka:

    Otwórz Notatnik i wklej w nim:

     

    S3 GMSIPCI; \??\J:\INSTALL\GMSIPCI.SYS [X]
    S2 LckFldService; C:\WINDOWS\system32\LckFldService.exe [X]
    HKU\S-1-5-21-1060284298-1897051121-1801674531-1003\...\Run: [] => [X]
    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

     

    jessi

  5. Znasz ten program?

     

    UpSwing (HKCU\...\59468cfbffaf7c83) (Version: 1.0.0.62 - UpSwing)

     

    Nic wiecej podejrzanego w logach nie widzę.

     

    1. Na wszelki wypadek użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

    Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

     

    2. Opróżnimy przy okazji foldery TEMP. Otwórz Notatnik i wklej w nim:

     

    HKU\S-1-5-21-606747145-1409082233-1801674531-1004\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Documents and Settings\user\Dane aplikacji\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid e1550c2359c3be5c638c477affd5c71c-bff81dce305edee65692b8468e171ef1ccdff3f8 --CMPID 0913

    EmptyTemp:

     

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

     

    jessi

  6. Otwórz Notatnik i wklej w nim:

     

    C:\Documents and Settings\Admin\xeaya.exe
    C:\Documents and Settings\Admin\diefioj.exe
    C:\Documents and Settings\Ewa\ciedeih.exe
    HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
    R3 WMI_MFC_TPSHOKER_80; \??\C:\WINDOWS\system32\drivers\gmsmsn.sys [X]
    Reg: reg delete "HKCU\software\microsoft\windows\currentversion\explorer\mountpoints2"
    C:\FOUND.007
    C:\Program Files\Program Files.exe
    C:\Program Files\Common Files\Common Files.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

    Daj ten log.

     

    Zrób nowe logi z FRST.

     

    jessi

  7. 1. Odinstaluj ClearThink.

     

    2. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego.

     

    3. Otwórz Notatnik i wklej w nim:

     

    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

     

    4. Zrób nowe logi z FRST (już bez Shortcut).

     

     

    Application errors:

    ==================

    Error: (08/28/2014 03:44:39 PM) (Source: WinMgmt) (EventID: 10) (User: )

    Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

    To tylko tak przy okazji (bez związku ze śmieciami).

    Aby automatycznie rozwiązać ten problem, kliknij > Fix.it. na tej stronie: KLIK

    Następnie kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it.

     

     

    jessi

  8. 1. Odinstaluj Genesis.

     

    2. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

    Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

     

    3. Otwórz Notatnik i wklej w nim:

     

    Task: {24A41573-B7CE-4C3D-AE81-C004C2E69293} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-1 => C:\Program Files (x86)\Plus-HD-9.1\Plus-HD-9.1-codedownloader.exe

    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

    Task: {4411D375-4B6C-4DD1-877A-1810C4AB2550} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-3 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-3.exe

    Task: {8F2236AB-B53C-4BFE-AA3C-FAAE04C8885E} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-4 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-4.exe

    Task: {C7CAA882-B2D5-47F5-8463-AC8FC0DBA13A} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-2 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-2.exe

    Task: {D2664D78-6905-4A2C-8D5D-FE34AB3AF3C8} - System32\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-5 => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-5.exe

    Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-1.job => C:\Program Files (x86)\Plus-HD-9.1\Plus-HD-9.1-codedownloader.exe <==== ATTENTION

    Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-2.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-2.exe <==== ATTENTION

    Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-3.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-3.exe <==== ATTENTION

    Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-4.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-4.exe <==== ATTENTION

    Task: C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-5.job => C:\Program Files (x86)\Plus-HD-9.1\fe460948-c484-4043-93ee-8f2111752f7a-5.exe <==== ATTENTION

    C:\Users\oem\AppData\Roaming\SupTab

    C:\Program Files (x86)\Plus-HD-9.1

    HKLM-x32\...\Run: [fst_pl_107] => [X]

    HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431

    HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431

    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431

    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431

    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431

    SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398802551&from=amt&uid=WDCXWD2500BEKT-60A25T1_WD-WXA1A50U0431U0431&q={searchTerms}

    BHO: Plus-HD-9.1 -> {11111111-1111-1111-1111-110511291116} ->  No File

    CHR Extension: (Plus-HD-9.1) - C:\Users\oem\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaipilfmheplbcghignccoiiebekkdhe

    S2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe -service [X]

    C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-3.job

    C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-4.job

    C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-5.job

    C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-1.job

    C:\Windows\Tasks\fe460948-c484-4043-93ee-8f2111752f7a-2.job

    EmptyTemp:

     

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

    Daj ten log.

     

    4. Zrób nowe logi z FRST (już bez Shortcut)

     

     

    Tak przy okazji (bez związku ze śmieciami):

     

    Application errors:

    ==================

    Error: (08/28/2014 03:18:20 PM) (Source: WinMgmt) (EventID: 10) (User: )

    Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

     

    Aby automatycznie rozwiązać ten problem, kliknij > Fix.it na stronie: KB2545227.

    Następnie kliknij przycisk Uruchom w oknie dialogowym Pobieranie pliku i wykonaj kroki w kreatorze Fix.it.

     

    jessi

  9. 1) Odinstaluj:

     

    AVG Security Toolbar (HKLM-x32\...\AVG Secure Search) (Version: 18.1.9.799 - AVG Technologies)

    Babylon Chrome Toolbar (HKLM-x32\...\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}) (Version: 2.0.0.4 - Babylon Ltd) <==== ATTENTION

    Babylon toolbar (HKLM-x32\...\BabylonToolbar) (Version: - BabylonToolbar) <==== ATTENTION

    DealPly (HKCU\...\DealPly) (Version: - ) <==== ATTENTION DealPly (remove only) (HKLM-x32\...\DealPly) (Version: 4.8.6.3 - DealPly Technologies Ltd.) <==== ATTENTION

    free-downloads.net Toolbar (HKLM-x32\...\free-downloads.net Toolbar) (Version: - ) <==== ATTENTION

    PDF Reader Packages (HKCU\...\PDF Reader Packages) (Version: - ) <==== ATTENTION

    Smiley Bar for Facebook (HKLM-x32\...\Smiley Bar for Facebook) (Version: 1.0.0.1 - Plus Winks) <==== ATTENTION

    Speed Analysis 2 (HKLM-x32\...\Speed Analysis 2) (Version: 1.0.0.0 - SpeedAnalysis.com) <==== ATTENTION

    SweetIM for Messenger 3.7 (HKLM-x32\...\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}) (Version: 3.7.0007 - SweetIM Technologies Ltd.) <==== ATTENTION

    SweetPacks bundle uninstaller (HKLM-x32\...\{953AA732-9AFB-49C9-84A4-7F96CA0A08DA}) (Version: 1.0.0001 - SweetIM Technologies Ltd.) <==== ATTENTION

    Update Manager for SweetPacks 1.1 (HKLM-x32\...\{EA8FA6BE-29BE-4AF2-9352-841F83215EB0}) (Version: 1.1.0008 - SweetIM Technologies Ltd.) <==== ATTENTION

    uTorrentControl_v2 Toolbar (HKLM-x32\...\uTorrentControl_v2 Toolbar) (Version: 6.9.0.16 - uTorrentControl_v2) <==== ATTENTION

     

    EDIT:

    Dziś Forum fatalnie działa, tekst zlewa się w jedną sieczkę, nie działa BBCCode.

     

    2) Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

    Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

     

    3) Zrób nowe logi - już bez GMER.

     

    jessi

  10. System errors:

    =============

    Error: (08/26/2014 10:09:24 PM) (Source: Service Control Manager) (EventID: 7024) (User: )

    Description: Usługa Usługa nasłuchująca grup domowych zakończyła działanie; wystąpił specyficzny dla niej błąd %%-2147023143.

     

    Error: (08/26/2014 10:07:37 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

    Description: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:

    %%1083

     

    Error: (08/26/2014 10:07:32 PM) (Source: Service Control Manager) (EventID: 7001) (User: )

    Description: Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu:

    %%1083

     

    To dziwne, jak dla mnie: nie widzę infekcji ZeroAcces, ani żadnej innej, a wygląda na to, że usługa BFE jest uszkodzona.

    Być może ZeroAcces już usunąłeś, bo uzwałeś różne narzędzia.

    Użyty był też ServiceRepair, więc teoretycznie powinien naprawić BFE.

     

    Zrób log z Farbar Service Scanner.

     

    Przy okazji. Otwórz Notatnik i wklej w nim:

     

    FF Keyword.URL: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q=

    FF SearchPlugin: C:\Users\BLALA\AppData\Roaming\Mozilla\Firefox\Profiles\9fho67jp.default\searchplugins\conduit.xml

    S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]

    S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]

    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]

    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]

    EmptyTemp:

     

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

     

    jessi

  11. Co do tego komunikatu:

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL

    [2012-10-29 15:50:57 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe

    O4 - Startup: C:\Users\Bartaz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)

     

    :Commands

    [emptytemp]

    Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera.

    Pokaż raport, który pokaże się po restarcie.

     

    Zrób wszystkie wymagane logi (OTL, FRST, GMER), - @Picasso na pewno się o nie upomni!

    A do usuwania będzie dużo więcej, bo jest np. ZEROACCESS, są sponsorskie śmieci.

     

    W związku z ZeroAcces'em możesz też od razu zrobić log z Farbar Service Scanner.

     

     

    jessi

  12. [2014/08/16 18:17:35 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ClearThink

    Odinstaluj tego śmiecia. Może po jego usunięciu uda Ci się zrobić pozostałe wymagane logi?

     

    Są oczywiście jeszcze inne śmieci, np: SaveSense.

     

    DRV:64bit: - [2014/08/15 21:23:46 | 000,061,072 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64.sys -- ({c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gw64)

     

    ale ich usuwanie poda już @Picasso.

     

    jessi

  13. Po wyborze "szukaj" po kilku sekundach pojawia się taki oto komunikat, po naciśnięciu "OK" program się wyłącza.

     

     

    Wyłącz Antywirusa, i ściągnij od nowa Adw-Cleaner.

     

    Jeśli mimo to sytuacja się powtórzy, to pominiesz ten krok i przejdziesz do następnych.

     

    Czy jest to pewnie że @Picasso będzie dzisiaj?

     

    https://www.fixitpc.pl/topic/23615-picasso-update-status/?do=findComment&comment=151677

     

    jessi

  14. Dziś lub jutro zajrzy znów na Forum po długiej chorobie  @Picasso, więc oczywiście możesz poczekać na Jej zalecenia; moich zaleceń wcale nie musisz wykonywać!

     

    1) Odinstaluj MyFreeCodec (HKCU\...\MyFreeCodec) (Version:  - )

     

    2) Jeśli nie używasz, to odinstaluj Qtrax Player

     

    3) Użyj >Adw-cleaner
    najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
    Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

     

    4) Otwórz Notatnik i wklej w nim:

     

    Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\WINDOWS\TEMP\{71E10EB2-A610-46E9-B7A2-DD2DA785E39D}.exe
    Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{101F3DD6-CD60-4D64-9E90-BBEB10B19039}.exe
    Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
    Reg: reg delete "HKU\S-1-5-21-1644491937-117609710-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes" /f
    HKU\S-1-5-21-1644491937-117609710-682003330-1003\...\Run: [Host-process Windows (Rundll32.exe)] => C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe
    C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe
    HKU\S-1-5-21-1644491937-117609710-682003330-1006\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe"  /PROMPT /CMPID=JUNE2013_TB
    HKU\S-1-5-21-1644491937-117609710-682003330-1006\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe"  /PROMPT /CMPID=JUNE2013_HP
    C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe
    C:\Program Files\AVG Secure Search
    SearchScopes: HKCU - {C0C4A29C-2EA9-400D-A152-10F819F9C204} URL = http://start.funmoods.com/results.php?f=4&a=vsl&q={searchTerms}
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
    FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox
    FF Extension: RelevantKnowledge - C:\Program Files\RelevantKnowledge\firefox
    C:\Program Files\RelevantKnowledge
    CHR HomePage: hxxp://isearch.avg.com/?cid={D58B11E0-ADCF-4AC1-8CC5-12EA05654816}&mid=7bded0560b924db4bb9e2db061844bb9-de27ce43eb7d342c27ac43ca021e07458ef1e393&lang=pl&ds=xn011&pr=sa&d=2013-01-31%2009:46:05&v=13.3.0.17&sap=hp
    CHR StartupUrls: "hxxp://www.sweet-page.com/?type=hp&ts=1406548088&from=cor&uid=WDCXWD5000AAKS-22A7B0_WD-WCASY210110801108"
    CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X]
    C:\WINDOWS\system32\Drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gt.sys
    C:\Documents and Settings\All Users\Dane aplikacji\2308189059
    C:\Program Files\Deal Keeper
    C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ajnu36l8.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\alujhc_9.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\AVG.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\bzmoxrkm.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.11.1.7324-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.0.7335-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.1.7342-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.1.7351-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.13.0.7366-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.13.0.7376-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.14.0.7387-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.14.1.7394-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.15.0.7430-x86.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\fg2flycz.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ggdrive-menu.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ggdrive-overlay.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\gwunstal.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\hpzmsi01.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\hpzscr01.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ICReinstall_Opera 12.16.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\installstats.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\jre-6u30-windows-i586-iftw-rv.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\mirc722.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\NEventMessages.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\NOSEventMessages.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\npp.6.6.3.Installer.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SCC.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Shockwave_Installer_Slim.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SkypeSetup.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SRLDetectionLibrary7297182879069303379.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\swt-win32-3349.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\swt-win32-3740.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ueinuj-7.dll
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\uninst1.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Update_89A.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\xmlUpdater.exe
    C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\_89A.exe
    Shortcut: C:\Documents and Settings\Górski\Menu Start\Programy\YaTQA.lnk -> E:\Program Files\YaTQA\yatqa.exe (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\config.xml.LNK -> C:\Documents and Settings\Górski\Moje dokumenty\Downloads\config.xml (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI06.488.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI06.488 (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI16.064.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI16.064 (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI43.024.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI43.024 (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI47.152.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI47.152 (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI49.024.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI49.024 (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI51.064.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI51.064 (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\specyfikacja.doc.LNK -> C:\Documents and Settings\Górski\Pulpit\MARCIN\PROJEKT PANEL!\specyfikacja.doc (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\straz pozarna.jpg.LNK -> C:\Documents and Settings\Górski\Pulpit\straz pozarna.jpg (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\system binarny.xls.LNK -> C:\Documents and Settings\Górski\Pulpit\system binarny.xls (No File)
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Temp.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp ()
    Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\USB DISK (G).LNK -> G:\ (No File)
    Reboot:

    Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

     

    5) Zrób nowe logi FRST.

     

    6 Pokaż, co wykrył MBAM - jeśli jeszcze masz tamten raport z niego.

     

    jessi

  15.  

    Na pewnym forum napisano mi, iż może być to trojan podmieniający DNS. Polecono mi także zwrócić się z problemem na tymże forum, tak też robię.

     

    Źle trafilłeś, bo @Picasso jest chora, i może dopiero we wtorek tu zajrzy.

    Ja w logach nie widzę niczego podejrzanego.

     

    Tcpip\Parameters: [DhcpNameServer] 192.168.1.1

    Tcpip\..\Interfaces\{09C6C7C9-FCD3-4B98-838F-C8C18AC52905}: [NameServer]156.154.70.25,156.154.71.25

    Tcpip\..\Interfaces\{70B41D36-EC1F-44B0-BC3E-064070B97A5D}: [NameServer]156.154.70.25,156.154.71.25

     

    DNS'y masz prawidłowe: pierwszy to Twego dostawcy internetowego, dwa pozostałe to DNS'y Comodo (a tego masz zainstalowanego)

     

    jessi

  16. Ten plik "upt4pc_pl_21.exe" - zostawiamy w spokoju.

     

    Raport z Adw-Cleaner dałeś nie ten, co potrzeba - ale to i tak nieważnie, bo nic nie wykrył.

     

    Tylko kosmetyka:

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL
    [2014-03-27 13:04:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\SupTab
    [2013-11-18 10:49:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\systweak
    [2013-10-29 10:38:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\FoxTab
    [2014-04-02 17:10:41 | 000,000,916 | ---- | M] () -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\searchplugins\conduit-search.xml
    [2014-06-13 13:58:53 | 000,000,000 | ---D | M] ("Fast Start") -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\extensions\faststartff@gmail.com
    [2014-06-13 13:59:00 | 000,000,000 | ---D | M] ("shortcut") -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\extensions\shortcutff@gmail.com
    [2014-04-26 13:35:17 | 000,002,542 | ---- | M] () -- C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Dane aplikacji\Mozilla\Firefox\Profiles\73fl36jl.default\searchplugins\ask-search.xml
    FF - prefs.js..browser.search.defaultenginename: "delta-homes"
    FF - prefs.js..browser.search.selectedEngine: "delta-homes"

    :Reg
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-21-1801674531-813497703-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-

    :Commands
    [emptytemp]

    Kliknij w Wykonaj Skrypt.

     

    Raportu z tego już nie dawaj. Wszystko jest OK.

     

    SRV - [2014-07-07 20:00:59 | 000,246,112 | ---- | M] () [Auto | Stopped] -- C:\Program Files\PLAY ONLINE\UpdateDog\ouc.exe -- (PLAY ONLINE. RunOuc)

     

    Być może źródłem problemu jest ta powyższa usługa.

    Ale to nie infekcja.

     

    jessi

  17. Zarażony router? Przepraszam za brak wiedzy w tym kierunku, wiem tylko, że jest to oryginalny router z orange, ale nie wiem, jak sprawdzić czy jest on zainfekowany, czy nie. :confused:

    Na komputerze są już prawidłowe DNS'y:

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1120887E-0A0E-4B30-99CA-B978488219C5}: DhcpNameServer = 192.168.1.1

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{218919CB-CA68-4737-82F7-83C9CA92ABAD}: DhcpNameServer = 192.168.1.1

    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{87350B16-6591-49F4-8D72-7201A0867706}: DhcpNameServer = 192.168.1.1

     

    Jeśli problem dalej występuje, to trzeba zresetować router.

    Jeśli nie wiesz jak, to skontaktuj się z Orange.

    To nie ma znaczenia, czy router oryginalny, czy nie.

     

    Kosmetyka:

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL

    [2013-12-09 01:30:35 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\aartemis

    O4:64bit: - HKLM..\Run: [Mam3PAN.exe] Mam3PAN.exe File not found

    O3:64bit: - HKLM\..\Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.

    FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc:  File not found

    FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.4:  File not found

    FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=2.3.0:  File not found

    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found

     

    :Reg

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

     

    :Commands

    [emptytemp]

    Kliknij w Wykonaj Skrypt.

     

    jessi

  18. 1) Użyj >Adw-cleaner
    najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
    Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

     

    2)

    C:\Documents and Settings\Marcin.DOM-D69AD2F462C\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_21\upt4pc_pl_21.exe

     

    Jeśli Adw-Cleaner tego nie usunie, to sprawdzisz ten plik na JOTTI/ albo na VIRUSTOTAL

     

    3) Zrób nowe logi - już bez GMER.

     

    jessi

  19. Nie widzę tu żadnej infekcji.

     

    Kosmetyka:

    Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

     

    :OTL
    [2014-08-13 10:21:20 | 000,387,391 | ---- | C] () -- C:\WINDOWS\SysNative\ApnDatabase.xml

    :Reg
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-
    [HKEY_USERS\S-1-5-21-1522348370-4219485902-3141309952-1001\Software\Microsoft\Internet Explorer\SearchScopes]
    "DefaultScope"=-

    :Commands
    [emptytemp]

    Kliknij w Wykonaj Skrypt.

     

    jessi

×
×
  • Dodaj nową pozycję...