picasso

Brakuje głównego raportu FRST.txt. Dołącz. Będą też jeszcze poprawki.

FraudTool.YAC - posiadasz zainstalowanego delikwenta YAC(Yet Another Cleaner!), to niepożądany program: KLIK / KLIK. Może on także obniżać wydajność systemu. PUP.Optional.V9 - powiązany wątek z YAC, masowe przekierowania na adres v9.com. Akcje do przeprowadzenia: 1. Przez Dodaj/Usuiń programy odinstaluj: AVG Web TuneUp, McAfee Security Scan Plus, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1444206649&from=mych123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKLM -> ielnksrch URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1444206649&from=zzgbkk123&uid=st980811as_5ly0c6mcxxxx5ly0c6mc&z=d3a9f45db9f98796b458201g2z4z0z2o4ebqcq5w5e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={2E8A6E95-28B6-42E7-A156-FD99D6A24E0E}&mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34f8f4747&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-02-21 19:01:45&v=4.1.0.404&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-1580436667-1606980848-1004 -> {ielnksrch} URL = FF Plugin: @microsoft.com/WPF,version=3.5 -> C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll [2008-07-29] (Microsoft Corporation) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: Microsoft .NET Framework Assistant - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2014-12-19] [brak podpisu cyfrowego] HKLM\...\Run: [LMgrVolOSD] => "C:\Program Files\Launch Manager\OSD.exe" HKLM\...\Run: [LMgrOSD] => "C:\Program Files\Launch Manager\OSDCtrl.exe" HKLM\...\Run: [CtrlVol] => C:\Program Files\Launch Manager\CtrlVol.exe Winlogon\Notify\RailNotification: HKU\S-1-5-18\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-19\...\Run: [KB976002-v5] => rundll32.exe advpack.dll,LaunchINFSection OPMWXPUP.inf,BrowserChoiceGoo HKU\S-1-5-21-1177238915-1580436667-1606980848-1004\...\Run: [AVG-Secure-Search-Update_1015tb] => "C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe" /PROMPT /CMPID=1015tb /mid=6b0773b6b9ac47cd8292d15198c03c79-3fc222fb4845601e336d5d1fd8cd02c34 (dane wartości zawierają 7 znaków więcej). Task: C:\WINDOWS\Tasks\AVG_SYS_TASK_1015tb_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_1015tb\AVG-Secure-Search-Update_1015tb.exe S2 vToolbarUpdater40.1.8; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\40.1.8\ToolbarUpdater.exe" [X] S3 eapihdrv; C:\Documents and Settings\User\Ustawienia lokalne\Temp\ehdrv.sys [135760 2015-11-27] (ESET) S1 mailKmd; Brak ImagePath S3 Tosrfcom; Brak ImagePath S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\Itstock C:\Documents and Settings\User\Moje dokumenty\Google Chrome.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Moje dokumenty\Nowy folder\Nowy folder (9)\Obraz.jpg.lnk C:\Documents and Settings\User\Pulpit\Pulpit\ALLPlayer V4.6.lnk C:\Documents and Settings\User\Pulpit\Pulpit\EPSONPlot!.lnk C:\Documents and Settings\User\Pulpit\Pulpit\IrfanView Thumbnails.lnk C:\Documents and Settings\User\Ulubione\Autodesk\DesignCenter.lnk C:\Program Files\Common Files\fyfw1iiw.oll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Pluis trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problemem są dwie instalacje adware Catered to You + Video AdBlock for Firefox. Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje Adobe Reader 9.3 - Polish, Nowe Gadu-Gadu oraz adware Catered to You. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. Są dwa takie wpisy, więc narzędzie trzeba uruchomić dwa razy i powtórzyć akcję. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-26] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.28.15\npGoogleUpdate3.dll [2015-09-26] (Google Inc.) Task: {0C69C588-B83B-44ED-8A54-91C668EBDF1B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-26] (Google Inc.) Task: {6532B66C-5E80-41EB-BA86-12E61A03FDD0} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe Task: {CDC56117-91E5-448C-81F1-457DCE4E65CF} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-09-26] (Google Inc.) Task: {F9E0B67D-92CF-4D7A-BD4D-AAA15A915AB7} - System32\Tasks\Driver Booster SkipUAC (Krzysiek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files (x86)\GUTB28D.tmp C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\extensions Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił. PS. Odpowiadasz już w nowym poście, nie edytuj pierwszego.

boczek1984, z takim podejściem daleko nie zajedziesz. Już dawno znalizowałabym temat i podała instrukcje usuwania, gdybyś tylko przeczytał co należy. I nie pytałbyś o logi z FRST i GMER. A te niebieskie napisy w moim poście to są klikalne linki prowadzące do instrukcji!

Brakuje trzeciego obowiązkowego FRST Shortcut i preferuję pliki w załącznikach forum (pliki w oryginalnym kodowaniu). Widzę kilka różnych problemów: - Infekcje: świeża "deskazel.exe" oraz bardzo stara kiedyś niedoczyszczona infekcja typu ransomware (z przyczyny dziurawej Java). - Uszkodzona baza Usług kryptograficznych: usługi i sterowniki Microsoftu mają masowo od góry do dołu oznaczenie Brak podpisu cyfrowego. - A błąd Firefox jest związany ze złą wersją pliku nss3.dll - domyślnie ten plik jest folderze C:\Program Files\Mozilla Firefox. Będę sprawdzać kopie pliku. Akcje wstępne do przeprowadzenia: 1. Uruchom narzędzie Fix It 50202: KLIK. Narzędzie działa na XP. Zaznacz tryb agresywny, co resetuje bazę catroot2. 2. Przez Dodaj/Usuń programy odinstaluj stare wersje: Ad-Aware SE Personal, Codec 8.1 build 9, DivX Web Player, Google Chrome, Java™ 6 Update 31, Java 7 Update 71. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Run: [fdfadgfdgfdgdfg] => C:\Documents and Settings\All Users\Dane aplikacji\fdfadgfdgfdgdfg.exe [112128 2013-07-04] () HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Run: [aclertIO] => C:\Documents and Settings\darek\Dane aplikacji\kbdistem\deskazel.exe [545085 2015-11-26] () HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\darek\Dane aplikacji\skype.dat Startup: C:\Documents and Settings\darek\Menu Start\Programy\Autostart\OpenOffice.ux.pl 2.0.1.lnk [2006-03-18] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-2025429265-1078081533-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = www.bing.com HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab IE trusted site: HKU\S-1-5-21-2025429265-1078081533-725345543-1004\...\win.pl -> hxxps://myadmin.e.win.pl Task: C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job => C:\Program Files\Microsoft Security Client\MpCmdRun.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\fdfadgfdgfdgdfg.exe C:\Documents and Settings\darek\Dane aplikacji\skype.ini C:\Documents and Settings\darek\Dane aplikacji\sversion.ini C:\Documents and Settings\darek\Dane aplikacji\kbdistem Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowe logi FRST: - W polu Szukaj wklep nss3.dll i klik w Szukaj plików. - W systemie są dwa konta, na razie sprawdzany tylko darek. Po kolei zaloguj się na oba konta poprzez pełny restart systemu (a nie opcję Wyloguj lub Przełącz użytkownika) i wykonaj na każdym log z opcji Skanuj. Na gosi zaznacz też Addition i zaległy Shortcut (wystarczy go pobrać tylko raz, nieważne z którego konta). darek (S-1-5-21-2025429265-1078081533-725345543-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\darek gosia (S-1-5-21-2025429265-1078081533-725345543-1005 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\gosia Dołącz też plik fixlog.txt.

DelFix wprawdzie kasował różne odpadki narzędzi, ale nic z D:\ - ręcznie dokasuj z tego miejsca FRST i jego logi, o ile już tego nie zrobiłeś. Plik C:\delfix.txt też do upłynnienia. Temat rozwiązany. Zamykam.

Wszystko zgodnie z planem. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Cel infekcji nieznany. Na wszelki wypadek pozmieniaj loginy w ważnych serwisach (bank, poczta, etc).

1. Ostatni skrypt do FRST: DeleteKey: HKCU\Software\PRODUCTSETUP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skasuj więc ten folder przez SHIFT+DEL (omija Kosz urządzenia). DelFix wykonał zadanie, również jego log C:\delfix.txt do usunięcia.

FRST pomyślnie wykonał zadanie. Na pendrive odkryłam folder F:\My videos 18. Sprawdź czy niczego w nim nie brakuje. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystkie pliki pomyślnie podmienione. Skasuj foldery C:\FRST, C:\Pliki i D:\instalki\FRST64, oraz wszystkie logi utworzone przez FRST. Temat rozwiązany. Zamykam.

W systemie jest infekcja - uruchamia się moduł eapphostp.dll. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2538737369-596069251-4272499049-1000\...\Run: [ocebyinb] => rundll32 "C:\Users\Alchemy Studio\AppData\Roaming\eapphostp.dll",ktqyv Toolbar: HKU\S-1-5-21-2538737369-596069251-4272499049-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 LVPr2M64; system32\DRIVERS\LVPr2M64.sys [X] Task: {2A4F721A-8EAF-430C-BB58-CF02536A230D} - System32\Tasks\{DF72C691-55CE-48B0-93D3-EA355F379751} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.259&LastError=404 Task: {7EF4F028-0066-4EB8-8DAA-ACE7C87B6F10} - System32\Tasks\{B9C4991F-79E7-4A5F-9AC7-BBAEF305878A} => Firefox.exe hxxp://ui.skype.com/ui/0/4.1.0.179.259/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=404&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;ienotdefaultbrowser2 C:\Users\Alchemy Studio\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Alchemy Studio\AppData\Roaming\eapphostp.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem z MSSE ustąpił. PS. Oczywiście odpowiadasz już w nowym poście.

FRST pobrał dane co jest na urządzeniu. Teraz usuwanie infekcji z pendrive. Otwórz Notatnik i wklej w nim: F:\home.vbe F:\My videos 18.lnk CMD: attrib -s -h "F:\My videos 18" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie wypowiedziałeś się czy problem ustąpił. Wszystko wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: S1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] Reg: reg delete HKCU\Software\MozillaPlugins /f RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Oczywiście, że skrypt ma być wykonany przy podpiętym pendrive. W skrypcie użyłam literę "F", bo pod taką był podmontowany w momencie skanu USBFix. W razie zmiany mapowania zamień literę w ostatniej komendzie. Tak, tymczasowo wyłącz antywirusa na czas tej operacji, ale nie wchodź ręcznie na to urządzenie.

Wszystko pomyślnie wykonane. Na koniec zastosuj DelFix. To tyle z mojej strony.

Wszystko zrobione. Ale log z USBFix nieprzydatny: pendrive był wprawdzie podpięty, lecz USBFix nie wykrywa go i nie wiadomo jaka jest zawartość. Spróbuję pobrać te dane via FRST. Poprawki. Otwórz Notatnik i wklej w nim: S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42088 2015-06-04] (Anchorfree Inc.) C:\Program Files\TAP-Windows C:\ProgramData\FreeHideIP C:\Users\Benedykt\AppData\Roaming\FreeHideIP C:\Windows\System32\DRIVERS\taphss6.sys Folder: F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad /v WebCheck /t REG_SZ /d {E6FB5E20-DE35-11CF-9C87-00AA005127ED} /f CMD: type "C:\Program Files (x86)\Mozilla Firefox\6317571306CBF93C19F77A8D9B9BDB726317" C:\Program Files (x86)\Mozilla Firefox\6317571306CBF93C19F77A8D9B9BDB726317 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

To wygląda definitywnie na problem sprzętowy, trop z zasilaczem prawdopodobny. Załóż nowy wątek w dziale Hardware opisujący problem, podając tam wymagane dane: KLIK. Może ktoś się tym zajmie, ja nie prowadzę tematów sprzętowych, to nie jest moja specjalizacja.

W systemie liczne obiekty adware. Akcje do przeprowadzenia: 1. Odinstaluj adware/PUP: omiga-plus uninstall, WinZipper, YAC(Yet Another Cleaner). Na temat YAC: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64.sys [48784 2015-02-08] (StdLib) R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-21] (StdLib) R1 {915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw64; C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw64.sys [48792 2015-01-22] (StdLib) S3 BsHelpCS; C:\Program Files (x86)\Ralink Corporation\Ralink Bluetooth Stack\BsHelpCS.exe [X] S3 BtAudioBusSrv; System32\Drivers\BtAudioBus.sys [X] S3 BthL2caScoIfSrv; System32\Drivers\BtL2caScoIf.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-540850872-1358058235-1465318530-1000\...\Run: [Yahoo! Search] => C:\Users\Admin\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\dsrlte.exe [660736 2015-08-16] (Pay By Ads LTD) Task: {B266BE4E-CF59-4969-B7FB-3355E249EC13} - System32\Tasks\Yahoo! Search Updater => Wscript.exe //B "C:\Users\Admin\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\..\updt.js" Task: {C1FEE5F4-F4A0-44D0-B11E-5352A0AB1EBE} - System32\Tasks\{DBF7339B-26BD-4F1B-8BB8-C8F44018F9F9} => pcalua.exe -a "C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\7PKLC4XB\sp66089[1].exe" -d C:\Users\Admin\Desktop Task: {CE8931D4-1FD1-42CA-849B-F1C32DBE7353} - System32\Tasks\{5FD12B4E-18AA-4B42-9005-088BB36AA05B} => pcalua.exe -a "C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FCMLANVZ\sp66924[1].exe" -d C:\Users\Admin\Desktop HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1421905105&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&q={searchTerms} HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1434104282&from=xtab&uid=54E723FD086140bdB21E8DA3B26B39D9 HKU\S-1-5-21-540850872-1358058235-1465318530-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=dspp&ts=1421905105&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&ts=1421905123&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&ts=1421905123&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {6B2915F5-81ED-4F99-9623-B6F385A9A849} URL = hxxp://searchsimple-a.akamaihd.net/?affID=is&q={searchTerms}&r=972 SearchScopes: HKU\S-1-5-21-540850872-1358058235-1465318530-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST500LT012-1DG142_S3PDMVGB&ts=1421905123&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0sz0wdff.default\extensions\quick_searchff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0sz0wdff.default\extensions\sweetsearch@gmail.com FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\0sz0wdff.default\extensions\fftoolbar2014@etech.com => nie znaleziono ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> C:\Users\Admin\AppData\Local\Pay-By-Ads C:\Windows\system32\log C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}Gw64.sys C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys C:\Windows\System32\drivers\{915cb94b-b4d8-4c0e-83b4-61409471b1c3}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Brakuje pliku fixlog.txt z wynikami przetwarzania skryptu, w nim jest istotna informacja do jakiego pliku linkował usunięty z Firefox skrypt !6317571306CBF93C19F77A8D9B9BDB726317.js. Fixlog jest tam skąd uruchamiałeś FRST. OTL od dawna nie jest rozwijany i brak mu skanów, które posiada FRST. Twój temat bardzo dobrze to obrazuje, OTL w ogóle nie skanuje nowej struktury Harmonogramu zadań systemów Vista do Windows 10, dlatego wpisu który produkował błąd nie było widocznego w OTL wcale (w logu który wcześniej podałeś). Informację o tym skąd uruchamia się wpis nie mając logów to pokazujących wytypowałam po prostu na podstawie rodzaju błędu i konstrukcji nazwy (losowe nazwy u każdego inne, ale odczuwalny schemat nazewniczy). Owszem, naruszyłeś poprawne wpisy. Ten pierwszy był widziany w OTL jako "not found", tylko że jest to stan domyślny systemu, OTL po prostu tego nie filtruje poprawnie, w przeciwieństwie do FRST. Ten wpis odtworzę. Dwa pozostałe też były OK, ale ich usunięcie nie jest istotne. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\WebCheck deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Uninstall C:\Users\Mateusz H\AppData\Local\Microsoft\OneDrive\17.3.5892.0626 deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Uninstall C:\Users\Mateusz H\AppData\Local\Microsoft\OneDrive\17.3.5892.0626\amd64 deleted successfully.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Dostarcz ten plik.

Tak, to jest pod F8 i to w menu z wyborem trybu normalnego i awaryjnego, które opisujesz. Tu jest opis jak to wygląda: KLIK. Jeśli nie widzisz tam opcji "Napraw komputer", to posłuż się DVD instalacyjną Windows 7, by tam wejść.

Tak jak mówiłam, problem tworzy odpadkowe zadanie adware w Harmonogramie - to MBAM skasował folder "Image Touch", ale pominął zadanie. I nadal masz zainfekowany Firefox (trik z wykorzystaniem "matrycy domyślnej"). Akcje do przeprowadzenia: Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!6317571306CBF93C19F77A8D9B9BDB726317.js" FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!6317571306CBF93C19F77A8D9B9BDB726317.js [2015-11-26] Task: {721C5EDF-1DA8-4707-BF7E-1532877BA247} - System32\Tasks\Image Touch => Rundll32.exe "C:\Users\Mateusz H\AppData\Local\Image Touch\{F1D83F68-363D-80BA-CA4B-E1FC08728F98}\ImageTouch.dll",#3 Task: {76901D72-7BD6-4C2F-B6D2-6EE17E859791} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Brak pliku Task: {AB84708A-5A9D-4235-A445-A406959D2A19} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: {EB226692-07FC-4351-B5C2-03B8489233D0} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {F8FAD957-C22E-46F1-876B-0A1BE284F969} - \SmartWeb Upgrade Trigger Task -> Brak pliku C:\Program Files (x86)\Temp C:\Program Files\Common Files\Bitdefender C:\Users\Mateusz H\AppData\Roaming\Opera Software C:\Windows\system32\Drivers\etc\hp.bak EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw fixlog.txt oraz dodatkowo logi z folderów C:\AdwCleaner i C:\_OTL (uruchamiałeś jakiś skrypt - skąd?). Ten ostatni ma rozszerzenie *.log i trzeba zmienić nazwę ręcznie na *.txt, by wszedł w załączniki. Nowe skany FRST nie są mi już potrzebne.

To błąd produkowany przez pozostałość adware w Harmonogramie zadań. Na razie to dostarcz porządne dane: Proszę przeczytaj zasady działu: KLIK. Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę, usuwam. Obowiązkowe logi to FRST i GMER. Dodatkowo, dołącz logi z używanych narzędzi, by było wiadome co usuwano wcześniej. Wszystkie raporty proszę wstaw jako załączniki forum, a nie na serwisach wklejkowych.