picasso

Brak oznak czynnej infekcji. Dostarcz dodatkowy raport z Farbar Service Scanner.

Victor, logi FRST są bezużyteczne jeśli chodzi o problemy z BIOS - kompletnie inne sfery. I opisywany przypadek to nie jest problem infekcji. Temat przesuwam do działu Hardware. Zasady działu: KLIK.

fir3, w pierwszym poście brak trzeciego obowiązkowego raportu FRST Shortcut. A skoro się pośpieszyłeś i zacząłeś czyścić na własną rękę, to dostarczone logi z FRST są już nieaktualne. Proszę o dostarczenie nowych - wszystkich trzech (FRST.txt, Addition.txt, Shortcut.txt).

Marylka, na przyszłość: proszę dokładniej opisuj o co chodzi z "syfem na kompie", bo logi nie zawsze mogą wszystko pokazać i opis często kieruje na szukanie w miejscach niewidocznych w skanach. Póki co do wykonania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware Search App by Ask oraz stare wersje i zbędnik Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader X (10.1.9), AVG Web TuneUp, Java 8 Update 45, JavaFX 2.1.1. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3369816969-207793647-2651142573-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dregol.com/?f=1&a=drg_ir_15_19&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtByEtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzztD0FyByC0DtAtG0CzzyD0BtG0D0FtCtCtGyEtC0FyDtGyD0EtD0Ezy0E0AzzyEtB0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyBtAtByDtA0BzytG0DtDyByEtGyE0CyEyDtG0AtD0FtBtGtCyC0F0AyEtByEyB0AyDtAyD2QtN0A0LzutB&cr=1874553017&ir= SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://no.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_17&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dno%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtDzztN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StA0AyBtB0B0EyE0FtGyBzy0ByEtGtByE0AyDtG0ByDzzyBtGyD0CtDtD0EyEyCyEtBtC0Ezy2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0EtDyEzz0AzzyE0DtG0ByCyCyBtGyE0CtC0CtGzytBtD0AtGtD0ByEzy0FyEyC0AyB0C0AtD2QtN0A0LzutB%26cr%3D1703710940%26a%3Dwny_ir_15_17%26os%3DWindows 7 Home Premium&p={searchTerms} SearchScopes: HKLM -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL = SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://www.dregol.com/results.php?f=4&q={searchTerms}&a=drg_ir_15_19&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtByEtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzztD0FyByC0DtAtG0CzzyD0BtG0D0FtCtCtGyEtC0FyDtGyD0EtD0Ezy0E0AzzyEtB0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyBtAtByDtA0BzytG0DtDyByEtGyE0CyEyDtG0AtD0FtBtGtCyC0F0AyEtByEyB0AyDtAyD2QtN0A0LzutB&cr=1874553017&ir= SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {00BC9FD1-74D3-4AC4-B5F8-74C46F5C060D} URL = SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://no.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_17&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dno%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtDzztN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StA0AyBtB0B0EyE0FtGyBzy0ByEtGtByE0AyDtG0ByDzzyBtGyD0CtDtD0EyEyCyEtBtC0Ezy2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0EtDyEzz0AzzyE0DtG0ByCyCyBtGyE0CtC0CtGzytBtD0AtGtD0ByEzy0FyEyC0AyB0C0AtD2QtN0A0LzutB%26cr%3D1703710940%26a%3Dwny_ir_15_17%26os%3DWindows 7 Home Premium&p={searchTerms} SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {5888CAF8-7CB6-4761-BFAA-05C37DFDFC1F} URL = http://isearch.avg.com/search?cid={E46A6DB1-EEE9-40DC-8167-76ACB7A8AD05}&mid=80293891b75f47d19697cd8898516b5f-8c651b501602ef2bdeb42579f37b98d17e583b56&lang=en&ds=AVG&pr=fr&d=2011-10-22 16:34:14&v=8.0.0.34&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://www.dregol.com/results.php?f=4&q={searchTerms}&a=drg_ir_15_19&cd=2XzuyEtN2Y1L1Qzu0EtDtB0AzztBtCtA0CtC0D0BtA0A0CyBtN0D0Tzu0StCtBtByEtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzztD0FyByC0DtAtG0CzzyD0BtG0D0FtCtCtGyEtC0FyDtGyD0EtD0Ezy0E0AzzyEtB0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyBtAtByDtA0BzytG0DtDyByEtGyE0CyEyDtG0AtD0FtBtGtCyC0F0AyEtByEyB0AyDtAyD2QtN0A0LzutB&cr=1874553017&ir= SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {c9ab6446-7efc-47fe-966c-dc54324eff9f} URL = https://mysearch.avg.com/search?cid={BC289C5C-FAE5-4D32-94EE-C4BD32B00FBD}&mid=80293891b75f47d19697cd8898516b5f-8c651b501602ef2bdeb42579f37b98d17e583b56&lang=en&ds=AVG&coid=avgtbavg&cmpid=0415tb&pr=fr&d=2015-03-23 16:37:11&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3369816969-207793647-2651142573-1001 -> {E3E3AA5F-A062-42B6-89AE-639AC30A5FCD} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11412&pf=V7&p2=^BBK^OSJ000^YY^NO&gct=&itbv=12.17.1.65&apn_uid=BDF9625C-E30F-4980-957B-1A468747BC5F&apn_ptnrs=BBK&apn_dtid=^OSJ000^YY^NO&apn_dbr=cr_37.0.2062.124&doi=2014-10-04&trgb=CR&q={searchTerms}&psv=&pt=tb BHO-x32: IEExtension.VDownloaderBHO -> {7b523e7c-f096-4e36-a0cb-7efeb5c675c1} -> C:\windows\SysWOW64\mscoree.dll [2010-11-05] (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File CustomCLSID: HKU\S-1-5-21-3369816969-207793647-2651142573-1001_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Kaisa Lachcik\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3369816969-207793647-2651142573-1001_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {07FDE57F-129A-400A-9A53-6210D7A7F44E} - System32\Tasks\{725F7816-F4CE-4E03-8406-BB688B723AE9} => pcalua.exe -a C:\PROGRA~2\RUN_DR~1\\uninstall.exe -c /uninstaller Task: {F465CA69-625E-48DC-BAF0-CACDFF9789F3} - System32\Tasks\Trojan Killer => C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe HKLM-x32\...\Run: [NPSStartup] => [X] S1 lwnfd_1_10_0_14; system32\drivers\lwnfd_1_10_0_14.sys [X] S1 tbfd_1_10_0_15; system32\drivers\tbfd_1_10_0_15.sys [X] C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\AskPartnerNetwork C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Run_Dregol C:\Program Files (x86)\Common Files\ApnStub.exe C:\Program Files (x86)\Common Files\ApnToolbarInstaller.exe C:\Programdata\Google C:\Programdata\Mozilla C:\Users\Kaisa Lachcik\AppData\Local\Google C:\Users\Kaisa Lachcik\AppData\Local\Mozilla C:\Users\Kaisa Lachcik\AppData\Roaming\Mozilla C:\Users\Kaisa Lachcik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Public\AlexaNSISPlugin.1868.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\8063f2dd /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kaisa Lachcik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy. W skrypcie powyżej usuwam szczątki źle odinstalowanych przeglądarek Google Chrome i Firefox. Ewentualna świeża instalacja którejś z nich potem.

cichy04, najpierw skończymy poprzedni komputer. Dostarcz logi, o które prosiłam, z poprzedniego komputera, bo na razie to żadnego potwierdzenia, że usuwanie się udało. Dopiero gdy skończymy z nim, zajmę się pozostałymi wątkami. PS. I po raz drugi wstawiasz tu plik OTL Extras. Przestarzały OTL nie jest tu brany pod uwagę. Log po raz kolejny usuwam.

Checkdisk skorygował pewne niespójności w strukturze plików. CheckSur nie wykrył błędów. Czy po zaleconych operacjach nadal pojawiają się błędy 80071A91 + 80070643?

W systemie dobrze widoczne obiekty czynnej infekcji. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [96755264 2015-06-27] (Microsoft Corporation) [File not signed] S3 ALSysIO; \??\C:\Users\Mateusz\AppData\Local\Temp\ALSysIO64.sys [X] R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKLM\...\Policies\Explorer\Run: [1597511312] => C:\ProgramData\msrbfyc.exe [84144128 2014-10-29] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-665916194-2271293263-4112161340-1001\...\Policies\Explorer: [NofolderOptions] 0 HKU\S-1-5-21-665916194-2271293263-4112161340-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Mateusz\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.) Task: {DC8CD785-087C-4EED-B279-6904DE65D9F3} - \Program aktualizacji online firmy Adobe. No Task File ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKU\S-1-5-21-665916194-2271293263-4112161340-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-665916194-2271293263-4112161340-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-665916194-2271293263-4112161340-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF SelectedSearchEngine: delta-homes FF Plugin-x32: adobe.com/AdobeExManDetect -> D:\Program Files\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll No File C:\Program Files\*.exe C:\ProgramData\msrbfyc.exe C:\Users\Ewa\Desktop\rFactor2.lnk C:\Users\Ewa\Desktop\SopCast.lnk C:\Users\Mateusz\Desktop\rFactor2.lnk C:\Users\Mateusz\Desktop\SopCast.lnk C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Mateusz\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Acrobat Assistant 8.0" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Acrobat Speed Launcher" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Logitech . Rejestracja produktu.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v AdobeBridge /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKU\S-1-5-21-665916194-2271293263-4112161340-1001_Classes\CLSID\{0215A4C0-5431-4FD0-9B06-46589B5C4939}\InprocServer32 /s Reg: reg query HKU\S-1-5-21-665916194-2271293263-4112161340-1001_Classes\CLSID\{1E5724EA-3423-4BD3-ABD6-46E650D2DC66}\InprocServer32 /s CMD: type C:\Windows\System32\Tasks\Shutdown CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie multum aktywnych obiektów adware (serwisy / sterowniki). Ponadto, jest tu notowany problem z Przywracaniem systemu, ale tym zajmę się później: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Check "winmgmt" service or repair WMI. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 Lhtomj120; C:\Windows\system32\Drivers\Lhtomj120.sys [24696 2015-07-13] () R1 Rymachdi120; C:\Windows\system32\Drivers\Rymachdi120.sys [24184 2015-07-13] () S4 hirjodces; C:\ProgramData\LokeEsul\vamewvoa.exe [188392 2015-07-13] () [File not signed] S4 Nanjeb; C:\ProgramData\LokeEsul\Nanjeb.exe [2075136 2015-07-13] () [File not signed] S4 SilpaPepsu; C:\ProgramData\LokeEsul\RoqkuJabl.exe [255464 2015-07-13] () [File not signed] S2 veuttedbhm; C:\ProgramData\LokeEsul\vameavoa.exe [501224 2015-07-13] () [File not signed] S4 zejytose; C:\Users\Olek\AppData\Roaming\35453035-1436801384-3339-4644-3937FFFFFFFF\jnsbAACE.tmp [199168 2015-07-13] () [File not signed] S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lhtomj120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rymachdi120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lhtomj120.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Nanjeb => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rymachdi120.sys => ""="Driver" HKLM-x32\...\Run: [gmsd_pl_005010031] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3352835992-2200029799-2272378979-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe http://www.istartsurf.com/?type=sc&ts=1436951838&z=85350da84dc97d0778a29fag3zdc7qftcw7gabbgaw&from=face&uid=395049983_1052515_6CDD971B CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-06-10] C:\Program Files (x86)\40ea84ae-5fdf-487f-b723-5612bdc177e1 C:\Program Files (x86)\5e7a51f3-1bd9-4eae-aad0-38c415393cca C:\Program Files (x86)\e5b1dbe0-b72f-41cb-9f4d-4aed7fb9881b C:\Program Files (x86)\GUT61FF.tmp C:\ProgramData\LokeEsul C:\Users\Olek\AppData\Local\5465 C:\Users\Olek\AppData\Roaming\35453035-1436801384-3339-4644-3937FFFFFFFF C:\Users\Olek\AppData\Roaming\GoldenGate C:\Windows\hgfs.sys C:\Windows\prleth.sys C:\Windows\system32\Nanjeb64.dll C:\Windows\system32\NanjebOff.ini C:\Windows\system32\Drivers\Lhtomj120.sys C:\Windows\system32\Drivers\Rymachdi120.sys C:\Windows\SysWOW64\Nanjeb.ini C:\Windows\SysWOW64\NanjebOff.ini C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\GroupPolicy\GPT.INI Folder: C:\Program Files (x86)\Windows 7 Activator Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{ADEAC866-F3A5-48FA-8524-DD8AACA666F7} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opera jest zainfekowana adware. - W Operze CTRL+SHIFT+E i z listy rozszerzeń za pomocą iksa odinstaluj: CinemaP-1.9cV13.07, Filter Results. - Ponadto brak obecnie ustawionej domyślnej przeglądarki. W opcjach Opery ustaw ją jako domyślną. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Olek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Zanetis, proszę się nie dopisywać do cudzych tematów. I brak danych. Proszę dostarczyć raporty z FRST.

Ten skrót na pendrive nie został już znaleziony. Reszta usuwania przeprowadzona pomyślnie. Na zakończenie: 1. Odinstaluj USBFix. Następnie zastosuj DelFix. 2. Infekcja wyłączyła Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź do konfiguracji Przywracania: KLIK. Zaznacz Ochronę dla dysku C. 3. Na wszelki wypadek zmień także hasła logowania w serwisach online (bank, poczta, etc).

Otwórz Notatnik i wklej w nim: H:\pendrive (16GB).lnk RemoveDirectory: C:\Program Files (x86)\DriverToolkit RemoveDirectory: C:\Program Files\slimcleaner plus RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\ProgramData\slimware utilities inc RemoveDirectory: C:\Users\Lenovo\AppData\Local\DriverToolkit RemoveDirectory: C:\Users\Lenovo\AppData\Local\FileViewPro RemoveDirectory: C:\Users\Lenovo\AppData\Local\slimware utilities inc RemoveDirectory: C:\Users\Lenovo\AppData\Local\Temp\apn RemoveDirectory: C:\Users\Lenovo\Documents\Probit Software RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\FRST\Quarantine Reg: reg delete HKCU\Software\DriverToolkit /f Reg: reg delete HKCU\Software\PRODUCTSETUP /f Reg: reg delete HKCU\Software\DriverToolkit /f Reg: reg delete HKCU\Software\PRODUCTSETUP /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\IHProtect /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SupDp /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\SupTab /f Reg: reg delete HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} /f Reg: reg delete HKU\.DEFAULT\Software\AskPartnerNetwork /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go.

Naprawa WMI przeprowadzona pomyślnie i FRST wykrył punkty Przywracania systemu. Na koniec: 1. Usuń używane narzędzia za pomocą DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje poniżej wyliczone. Pobieranie najnowszych także w w/w linku. ==================== Installed Programs ====================== Adobe AIR (HKLM\...\Adobe AIR) (Version: 2.5.0.16600 - Adobe Systems Inc.) Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.0.1.152 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Reader 9.5.3 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A95000000001}) (Version: 9.5.3 - Adobe Systems Incorporated)

Ten skrót z pendrive nie chce zniknąć. Ale zanim podejmę kolejną próbę jego usuwania, dostarcz poprawny AdwCleaner. Posługujesz się archaicznym AdwCleaner v3.309 najwyraźniej zachomikowanym na dysku - nie ma sensuprogramu trzymać "na zapas", bo jest tak często aktualizowany. Jest dostępna o wiele nowsza i rzecz jasna wykrywająca o wiele więcej wersja v4.208. Wracaj do przyklejonego, pobierz AdwCleaner i dostarcz nowy log.

Teraz możemy zająć się innymi sprawami. FRST zgłasza niemożność pobrania danych Przywracania systemu ze względu na dysfunkcję WMI: ==================== Restore Points ========================= Could not list restore points Check "winmgmt" service or repair WMI. Wstępne działania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Z dwukliku uruchom plik i potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: CMD: sc stop winmgmt C:\Windows\system32\wbem\Repository Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST, ale tylko jeden. tzn. Addition. Dostarcz też fixlog.txt.

Pomyliłam się w jednej linii (za późno zedytowałam). Jeszcze mini poprawka: Reg: reg delete "HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{0B35E520-7E16-4FCE-8543-A65972F817AA} {98467961-4F27-4A1F-9629-22B06D0B5CCB} 0x401" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Skan ujawnił jeszcze powiązane z infekcją odpadki w rejestrze. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Classes\Drive\shellex\FolderExtensions\{0B35E520-7E16-4FCE-8543-A65972F817AA} /f Reg: reg delete HKU\S-1-5-21-329068152-117609710-1801674531-1004_Classes\Drive\ShellEx\FolderExtensions\{0B35E520-7E16-4FCE-8543-A65972F817AA} /f Reg: reg delete "HKU\S-1-5-21-329068152-117609710-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached" /v "{0B35E520-7E16-4FCE-8543-A65972F817AA} {98467961-4F27-4A1F-9629-22B06D0B5CCB} 0x401" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Infekcje pomyślnie usunięte, z wyjątkiem skutków na pendrive. Fix FRST nie znalazł dysku "H" podczas przetwarzania, prawdopodobnie z powodu pracy w Trybie awaryjnym. Kolejne poprawki: 1. Nie odinstalowałeś adware Search App by Ask. To nadal do wykonania. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1436878630&z=e4e2de05a7cf759d75d5928g3z6c1q8bam5b4qfg5o&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1436878630&z=e4e2de05a7cf759d75d5928g3z6c1q8bam5b4qfg5o&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} RemoveDirectory: C:\autorun.inf H:\pendrive (16GB).lnk CMD: attrib /d /s -s -h H:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go. 3. Jeśli powyższa akcja się wykona, na pendrive zostanie uwidoczniony folder "bez nazwy", w którym infekcja schowała dane. Wejdź do niego, swoje dane przenieś poziom wyżej, a następnie folder przez SHIFT+DEL skasuj. Po akcji zrób nowy log USBFix z opcji Listing. 4. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nic jeszcze nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nareszcie akcja wykonana. Wpis infekcji usunięty. Jeszcze na wszelki wypadek zrób dodatkowe szukanie w rejestrze: Uruchom FRST, w polu Search wklej: {0B35E520-7E16-4FCE-8543-A65972F817AA};{ECEFC883-CB1D-4EA1-819B-7A12A9D4E645} Klik w Search Registry i dostarcz wynikowy log Search.txt.

Brakuje pliku fixlog.txt z wynikami usuwania. Dostarcz ten plik.

Adware było usuwane, jeszcze dla pewności uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Usuwanie tej infekcji jest proste i już dawno powinno zostać wdrożone, a idzie nam jak z kamienia. Niestety operacja nie została wykonana. Proszę otwórz plik Fixlog i porównaj z zawartością w moim poście. Plik Fixlist został źle zapisany w Notatniku - zostały sklejone wszystkie linie podczas przeklejania do Notatnika, co powoduje że FRST nie interpretuje ich. Skrypt musi wyglądać identycznie jak w moim poście - tzn. muszą być przejścia do nowej linii. Prawdopodobnie to przeglądarka Internet Explorer powoduje, że do Notatnika jest wstawiany zniekształcony zestaw. Powtarzaj zadanie. Jeśli linie się sklejają, kopiuj do Notatnika po jednej, aż przekleisz wszystko.

Brakuje pliku fixlog.txt z wynikami usuwania FRST. Pliku nie ma, bo wygląda na to, że w ogóle nie wykonałeś zadania poprawnie. Żadnych zmian. Jaki był problem? Na dysku owszem widzę, że plik fixlist utworzyłeś, tylko Fix FRST nie został nawet zaincjowany (wtedy Fixlist znika z pierwotnej lokalizacji i jest przenoszony do archiwum): 2015-07-15 17:13 - 2015-07-08 16:06 - 01636352 _____ (Farbar) C:\Documents and Settings\ASD\Pulpit\FRST.exe 2015-07-15 16:50 - 2015-07-15 16:50 - 00001906 _____ C:\Documents and Settings\ASD\Pulpit\fixlist.txt Powtarzaj zadanie. Końcowe logi do dostarczenia to nowy FRST (z Addition) oraz fixlog.txt. Reszta logów ponownie już niepotrzebna.

krych Standardowa sprawa na systemach Windows. To historia uruchamianych programów w obszarze powiadomień, pozostaje mimo usunięcia programów z dysku. Jest przechowywana w rejestrze, ale wyszukiwanie w rejestrze wg nazwy nic nie znalazło, bo wartości są zakodowane. Czyści się to w następujący sposób: Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > wejdź do kluicza: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\TrayNotify Skasuj wartości IconStreams + PastIconsStream. By uwidocznić zmiany, należy przeładować powłokę, np. przez ręczne zabicie explorer.exe. jessika W spoilerze komentarze:

W systemie dwie infekcje oraz dużo adware. Adware nabyłeś poprzez "Asystenta pobierania" dobrychprogramów: KLIK. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware/PUP: istartsurf uninstall, FileViewPro, Search App by Ask, WordAnchor 1.10.0.20. - Stare wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Reader 8.1.1, Driver Cleaner 3, Java 8 Update 40. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125112 2015-06-24] (XTab system) R2 VSSS; C:\Users\Lenovo\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [99147904 2015-06-23] (Microsoft Corporation) [File not signed] S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [16056 2015-07-09] (SlimWare Utilities, Inc.) R1 wafd_vw_1_10_0_20; C:\Windows\System32\drivers\wafd_vw_1_10_0_20.sys [57728 2015-07-06] (WA) R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] HKU\S-1-5-21-2431670907-3491424385-537474094-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msnbr.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 Task: {059C5B36-6F18-4FF0-AFA2-19C0028EB7F1} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: {5F41E279-F71D-4B36-890D-68513E876D9F} - System32\Tasks\UpdateTask => C:\Users\Lenovo\AppData\Local\Chromium\APPLIC~1\450244~1.0\INSTAL~1\UNINST~1.EXE Task: {C74D064E-5113-42EE-A932-90C51D0DDA2D} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {C9871C15-CAA9-4E61-BDBB-49498D67BE70} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH HKU\S-1-5-21-2431670907-3491424385-537474094-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1436878569&z=c81499d4d64a34e3f57cc87gbz0c4q8b3mbb0w2w7g&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2431670907-3491424385-537474094-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST1000LM014-1EJ164_W380FGRHXXXXW380FGRH&ts=1436878654&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-24] (Thinknice Co. Limited) CHR HKLM\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-05-26] CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2015-05-26] C:\Program Files\*.exe C:\Program Files (x86)\AVG C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\Opera C:\Program Files (x86)\WordAnchor_1.10.0.20 C:\ProgramData\msnbr.exe C:\ProgramData\IHProtectUpDate C:\ProgramData\AVG C:\ProgramData\Temp C:\Users\Lenovo\AppData\Local\Avg C:\Users\Lenovo\AppData\Local\Chromium C:\Users\Lenovo\AppData\Local\Opera Software C:\Users\Lenovo\AppData\Roaming\AVG C:\Users\Lenovo\AppData\Roaming\istartsurf C:\Users\Lenovo\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Lenovo\AppData\Roaming\OpenCandy C:\Users\Lenovo\AppData\Roaming\Opera Software C:\Users\Lenovo\AppData\Roaming\Shortcut C:\Windows\system32\Drivers\wafd_vt_1_10_0_20.sys C:\Windows\system32\Drivers\wafd_vw_1_10_0_20.sys C:\Windows\system32\Drivers\SWDUMon.sys C:\WINDOWS\SysWOW64\sqlite3.dll H:\pendrive (16GB).lnk CMD: attrib /d /s -s -h H:\* Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Ask Search (w logu widziane jako "no name"), o ile nadal będzie widoczny po w/w deinstalacji globalnej. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition) + Farbar Service Scanner + USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Fix wykonany, więc standardowe koki na koniec z DelFix i czyszczeniem folderów Przywracania: KLIK. Podejrzany program antywirusowy. Wiele AV nie potrafi dobrze sformułować detekcji i klasyfikuje FRST jako "trojana" zapobiegając jego pobraniu lub natychmiast usuwając z dysku po pobraniu. Rozumiem, że w IE wyłączyłeś akcelerację sprzętową? Firefoxa wcześniej w systemie nie było, ale dla tej przeglądarki podobny trop z akceleracją: Opcje > Zaawansowane > Ogólne > Korzystaj z akceleracji sprzętowej, jeśli dostępna.