picasso

Logi OTL nie są tu obowiązkowe - usuwam Extras. Brak za to trzeciego pliku FRST Shortcut. Wg raportu FRST infekcja USB nie jest czynna po stronie systemu - są tylko puste odpadki, ale są za to różne aktywne obiekty adware (w tym aktywny sterownik). Urządzenia USB trzeba będzie sprawdzić z osobna. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wafd_1_10_0_19; C:\Windows\System32\drivers\wafd_1_10_0_19.sys [61312 2015-06-16] (WA) S2 wasvc_1.10.0.19; "C:\Program Files (x86)\WordAnchor_1.10.0.19\Service\wasvc.exe" [X] HKLM\...\Run: [] => [X] Startup: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\t.lnk [2015-06-07] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-06-13] Task: {85176E1D-EFA0-4099-ABA4-3038072167AC} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {FA4755F3-56EE-40D9-9F16-FCB829A23697} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe C:\Program Files (x86)\Opera C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\Users\Gosia\AppData\Local\Opera Software C:\Users\Gosia\AppData\Roaming\Opera Software C:\Users\Gosia\AppData\Roaming\GoldenGate C:\Users\Gosia\AppData\Roaming\Shortcut C:\Windows\System32\drivers\wafd_1_10_0_19.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz pole Shortcut) oraz USBFix z opcji Listing przy podpiętych zainfekowanych urządzeniach USB. Dołącz też plik fixlog.txt.

Logi FRST (wykonane już po uruchomieniu AdwCleaner) pokazują jawną infekcję - poniższy wpis produkuje zgłoszenia URL:Mal. CustomCLSID: HKU\S-1-5-21-1325929751-658327043-1420750288-1001_Classes\CLSID\{2D349E57-23E4-4A67-9624-F1DC6B65AABF}\InprocServer32 -> C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}\kdcom.dll (Mpotsraoor oictifnrCo) 2015-06-30 17:21 - 2015-06-30 17:21 - 00000000 ____D C:\ProgramData\Windows Genuine Advantage 2015-06-30 17:20 - 2015-06-30 17:21 - 00000000 ___HD C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0} Do przeprowadzenia następująca akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1325929751-658327043-1420750288-1001_Classes\CLSID\{2D349E57-23E4-4A67-9624-F1DC6B65AABF}\InprocServer32 -> C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0}\kdcom.dll (Mpotsraoor oictifnrCo) HKU\S-1-5-21-1325929751-658327043-1420750288-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-01] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\ProgramData\{F66CB4EE-546F-4D54-9332-216DE189AAB0} C:\ProgramData\Windows Genuine Advantage C:\Windows\%LOCALAPPDATA% EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice. 3. Zrób nowy log FRST z opcji Scan - zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Task Manager Extension Strona domowa Platforma: Windows XP, Vista 32-bit i 64-bit Licencja: freeware Task Manager Extension - Wtyczka dla systemowego menedżera procesów XP i Vista dodająca m.in. pokazywanie modułów, mapę pamięci, uchwyty, otwarte pliki, właściwości plików. Jest to kontynuacja starego projektu Task Manager Extension nieaktualizowanego od roku 2007, która po kilku latach braku aktywności uzyskała kompatybilność z systemem Vista i edycjami 64-bit. Na chwilę obecną wtyczka nie działa jednak poprawnie na Windows 7, menedżer zamyka się z błędem. Do pobrania dwie osobne wersje, odpowiednio dla systemów 32-bit i 64-bit.

Adux, zdaję sobie sprawę, że moje niedyspozycje mają niekorzystny wpływ, a ostatnio mogłam pracować tylko "zrywami". Wybaczcie, że nie spowiadam się tu szczegółowo ze spraw osobistych / zdrowotnych. Jeśli rzecz o tytułowym wątku: Bardzo długo zwlekałam z przyznaniem dodatkowej oficjalnej pomocy, wielokrotnie motywując powód zasadniczy (kompetencje - widziane inaczej oczami przeciętnego widza niż oczami specjalisty tematyki). Niestety, gdy podjęłam decyzję zgodną z oczekiwaniami ogółu, myśląc że rozwiązuję część problemu, wtrącił się wypadek losowy, w obliczu którego nie mogę kwestionować nieobecności drugiej osoby. W chwili obecnej nie zdecyduję się na kolejnego pomocnika "z łapanki", po dwóch nieudanych próbach nie robię trzeciej. Nie zostaje mi nic innego niż osobiście się zająć sprawami, cierpliwie oczekując aż Naathim ureguluje sprawy prywatne.

Aktualizacja 3.4.8 (zawierająca jednak brakujące łatki niedostępne w singlu) okazała się być tak drobna, że została wykonana w ekspresowym tempie. Gdyby ktoś coś dziwnego zauważył, proszę tu zgłaszać błędy.

GiveMePower (GMP) Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware GiveMePower (GMP) - Jest to nakładka graficzna integrująca konsolowe narzędzie PAExec (niezależna replika narzędzia PsExec), zredukowana do określonej funkcjonalności. Aplikacja jest bardzo uproszczona, udostępnia tylko przycisk przeglądania umożliwiający wskazanie programu który ma zostać zastartowany w kontekście konta SYSTEM. Wymagania: .NET Framework 2.0 lub nowszy.

Brakuje pliku fixlog.txt z wynikami usuwania. Powinien być w folderze E:\downloads. PS. Nie ma po co zmieniać nazwy raportom, jest wiadome który jest który. Nie prosiłam też ponownie o Shortcut i GMER, te usuwam.

Brak oznak infekcji. Kategoria: Alert dotyczący wydajności Data i godzina,Zagrożenie,Operacje,Stan,Zalecane działanie 2015-07-02 11:30:49,Informacje,Wysokie użycie Odczyt dysku przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie 2015-07-02 10:53:56,Informacje,Wysokie użycie Pamięć przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie 2015-07-01 04:34:08,Informacje,"Wysokie użycie Odczyt dysku, Zapis dysku przez: Google Chrome ",Wykryte,Nie jest wymagane żadne działanie 2015-06-29 14:30:41,Informacje,Wysokie użycie Zapis dysku przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie 2015-06-28 15:04:29,Informacje,Wysokie użycie Pamięć przez: Proces hosta dla usług systemu Windows ,Wykryte,Nie jest wymagane żadne działanie Nic z tego nie wynika. To jest ogólnikowa detekcja wskazująca tylko na svchost.exe bez szczegółów o którą instancję procesu chodzi (jest kilka w procesach uruchomionych) i jakie usługi są nań podmontowane (każda instancja procesu svchost.exe ma przypisaną inną pulę usług). 1. Do usunięcia tylko drobne puste (i nie związane z infekcjami) wpisy. Otwórz Notatnik i wklej: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File Task: {4143BCA8-C235-477D-8EA3-9A979EBBD909} - System32\Tasks\{B5024A63-5535-4CA9-86D5-5121842A3072} => pcalua.exe -a "C:\Program Files (x86)\Xilisoft\Video Converter Ultimate 6\Uninstall.exe" Task: {4E2A56E8-2FF6-47D9-8E56-8CAE7E62772D} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {B5ACB932-810A-4CD9-B9AF-BF244352F0BE} - System32\Tasks\{3EAF8A8D-B7DE-4FB1-AF80-FD1549F4CAE9} => pcalua.exe -a "C:\Program Files (x86)\Essential Data Tools\AnyReader\UninsHs.exe" -c /u0={AEB8F226-C238-4636-A289-E540B725B5BB} C:\ProgramData\wmzddnmb.cix C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Dziennik zdarzeń rysuje problem w całkiem innym miejscu, tzn. uszkodzenia systemu plików: System errors: ============= Error: (07/02/2015 00:12:30 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie C:. Error: (07/02/2015 00:12:30 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. Error: (07/02/2015 00:12:30 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. Error: (07/02/2015 11:57:45 AM) (Source: Ntfs) (EventID: 55) (User: ) Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume2. Error: (07/02/2015 11:35:24 AM) (Source: Application Popup) (EventID: 877) (User: ) Description: Wystąpił błąd [DATABASE OPEN FAILED] podczas przetwarzania bazy danych sterowników. Dostosuj się do komunikatu (uruchomienie checkdisk). Proponuję też udać się na wszelki wypadek na diagnostykę sprezętową dysku do działu Hardware, dostarczając wymagane materiały: KLIK.

Podane logi FRST są niepoprawne: FRST.txt prawie cały pusty, Addition.txt także obcięty. Zrób je od nowa.

W ostatnim raporcie FRST brak śladów adware w Firefox. Na wszelki wypadek podaj kolejne logi FRST (włącznie z Addition). Log powinien być zapisany na dysku, w przeciwnym wypadku nie otworzyłby się Notatnik. Nie wiem o co tu chodzi, że logów nie możesz znaleźć na dysku... Może COMODO blokuje zapis plików?

1. Skanery wykryły tylko drobnostki, tzn: Ciastka w Google Chrome (Hitman) oraz szczątki adware (MBAM). To czego jeszcze nie usunąłeś programami, dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Były różne infekcje. Na wszelki wypadek zmień wszystkie hasła logowania w serwisach (np. bank, poczta). 4. Proponuję też od razu zabezpieczyć cenne dane z dysku C, na którym są wykryte złe bloki, na zewnętrznym nośniku. Następnie udaj się do działu Hardware, załóż tam temat z wymaganymi danymi: KLIK. Zlinkuj im tu do mojego posta wskazującego odczyt złych bloków, by była wiadoma geneza tematu: KLIK.

Operacja pomyślnie wykonana. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Infekcja pomyślnie usunięta. Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. Pobrany GMER dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK 3. Zaktualizuj systemowy Internet explorer z wersji 9 do 11 (nawet jeśli go nie używasz): KLIK.

Wszystko wykonane. Na zakończenie: 1. Usuń FRST z folderu C:\Users\Szymon\Desktop\Nowy folder (2) oraz GMER z Pobranych. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj poniższe programy i zastąp najnowszymi wersjami: KLIK. ==================== Installed Programs ====================== Adobe AIR (HKLM-x32\...\Adobe AIR) (Version: 15.0.0.356 - Adobe Systems Incorporated) Adobe Flash Player 14 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 14.0.0.179 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla Internet Explorer Adobe Reader XI (11.0.10) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.10 - Adobe Systems Incorporated) Java 8 Update 31 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218031F0}) (Version: 8.0.310 - Oracle Corporation)

Infekcja Sirefef (aka ZeroAccess) jest czynna - sterownik serial.sys nadal zainfekowany (potwierdza to zarówno GMER, jak i FRST). Prócz tego kupa innych śmieci. Akcje wstępne: 1. Uruchom Kaspersky TDSSKiller, zostaw wszystkie akcje w stanie domyślnym (serial.sys musi być ustawiony na Cure a nie Delete - to sterownik systemowy). Zresetuj system w celu zatwierdzenia usuwania. Na dysku C powstanie log z akcji. 2. Zrób nowe raporty z FRST (włącznie z Addition) oraz Farbar Service Scanner. Dołącz też log z TDSSKiller.

Po prostu skopiuj tylko swoje dane, format przecież automatycznie usunie wszystko z urządzenia, w tym folder System Volume Information (utworzony przez Przywracanie systemu).

Zasady działu: KLIK. Na słowo nic tu się nie załatwia, wymagane obowiązkowe logi z FRST i GMER.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 ShortcutWithArgument: C:\Users\zibi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150509 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150509 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150509 HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://isearch.avg.com/?cid={30D4757C-1A9F-4E81-B89E-052C3F0A8F5F}&mid=624e592709e747d084d18965c6f77b90-a3bcec884083189fbe2319d437a293f55a3f7b04&lang=pl&ds=st011&pr=sa&d=2012-10-17 00:02:48&v=11.1.0.7&sap=hp HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268352 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=US&install_date=20121018&user_guid=C57FCB49214244CAB53E415CC3AE68C5&machine_id=c70db57d294546fd1b71def832dc4216&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2031001FC63C34D6&affID=119357&tsp=4991 SearchScopes: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=HitachiXHDS721010CLA332_JP9911HZ0R9TZU0R9TZUX&ts=1380268353&type=default&q={searchTerms} BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll No File Toolbar: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\...\Run: [iLivid] => "C:\Users\zibi\AppData\Local\iLivid\iLivid.exe" -autorun HKU\S-1-5-21-2030126852-3812474721-3917447742-1000\...\Run: [PeenyBee] => C:\Users\zibi\AppData\Local\PennyBee\PennyBeeW.exe CustomCLSID: HKU\S-1-5-21-2030126852-3812474721-3917447742-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\zibi\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File Task: {2F0D7694-3F42-40D3-B578-4E43265F5917} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {65A7C468-A85B-413C-B5DE-D76DD5DEF030} - System32\Tasks\{56D9BDA3-E5E9-48DA-AAB3-3EE57AFBC965} => pcalua.exe -a G:\Support\DotNetRedist\dotnetfx.exe -d G:\Support\DotNetRedist Task: {6C41A5F4-308E-4651-8224-A6AA4FECDABC} - System32\Tasks\{15E4C85E-516A-42C7-91F4-CC316496E2B6} => pcalua.exe -a "C:\Program Files (x86)\DVD PixPlay\unins000.exe" Task: {99E79350-8C66-4BE7-92DF-22CDAA7CA85F} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{1B0C630F-0C07-496B-AD4B-BBD7839C18DB}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{1B0C630F-0C07-496B-AD4B-BBD7839C18DB}.exe S3 ALSysIO; \??\C:\Users\zibi\AppData\Local\Temp\ALSysIO64.sys [X] C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD PixPlay C:\Users\zibi\Favorites\GG dysk.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj na czym stoimy.

quleczka Zasady działu na temat użytkowników uprawnionych do pomocy: KLIK. Poza tym, jeśli chcesz zweryfikować czy wszystko usunięte, załóż nowy temat i dostarcz obowiązkowe logi: KLIK. Hius Problem tworzy ten wpis klasy użytkownika: CustomCLSID: HKU\S-1-5-21-3972903673-1391813168-638966357-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\atl.dll (rtrspocfMoa tonooiiCr) Prócz tego są i inne wpisy adware. Akcje do wdrożenia: 1. Odinstaluj zbędnik Akamai NetSession Interface. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3972903673-1391813168-638966357-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\atl.dll (rtrspocfMoa tonooiiCr) R2 IHProtect Service; C:\Program Files (x86)\MiuiTab\ProtectService.exe [125056 2015-06-16] (XTab system) S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MSICDSetup; \??\G:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] Task: {91280A4C-14BC-4344-B7AE-CB29E2C25F8E} - System32\Tasks\{08D34113-C0E2-401E-99D4-0D25657C77E0} => pcalua.exe -a C:\Users\Szymon\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall Task: {BEE406F3-A0C9-4D27-A89D-CF8AC0E97746} - System32\Tasks\{276A7EF5-DF98-4D0F-BB66-3BC992EF7EAC} => pcalua.exe -a C:\Users\Szymon\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt HKU\S-1-5-21-3972903673-1391813168-638966357-1000\...\MountPoints2: {18465afc-f614-11e4-8599-d43d7eb4708a} - J:\LG_PC_Programs.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423307065&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97 HKU\S-1-5-21-3972903673-1391813168-638966357-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1423307065&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1434543209&from=xtab&uid=B63D0C882ED54aedB2869013EEC0CF97&q={searchTerms} SearchScopes: HKU\S-1-5-21-3972903673-1391813168-638966357-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671&ts=1423307087&type=default&q={searchTerms} BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\MiuiTab\SupTab.dll [2015-06-16] (Thinknice Co. Limited) BHStartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1423307037&from=smt&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR442467124671 C:\Program Files (x86)\MiuiTab C:\Program Files (x86)\XTab C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\TEMP C:\Windows\system32\Drivers\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Szymon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3642197454-799934318-2658753277-1001_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\vmstorfltres.dll (rtrspocfMoa tonooiiCr) Task: {4942C3D8-7FF1-4218-85C9-02398D7D3FFA} - System32\Tasks\{5B25EDD2-9673-4278-A289-8EC7812A1655} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{809D7E6D-915D-4EAD-821F-E13D93F37161} /l1033 Task: {5382EC81-792C-408D-BD59-FE0A7D3F7E19} - System32\Tasks\{A9C6819C-125C-4363-AAB6-F5D2C0659951} => pcalua.exe -a K:\setup.exe -d K:\ Task: {6B66A13A-F85D-4ECE-AC0D-BF6752C3B88D} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {B2FB3EAD-5850-4B86-9CAC-2E7BA31DF7CF} - System32\Tasks\{F9A8D1FE-E139-4F1E-B729-F7AA51B195A2} => pcalua.exe -a "G:\Solid\Solid 2013 x64\setup.exe" -d "G:\Solid\Solid 2013 x64" Task: {B7E33B4C-DA47-415C-A0E6-5F152C7A71FE} - System32\Tasks\{B9C33EBB-A747-4276-A54E-1913543764AA} => pcalua.exe -a "C:\Users\CAD Create\Downloads\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\n-isteps\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\setup\step_import_su.exe" -d "C:\Users\CAD Create\Downloads\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\n-isteps\SYCODE.STEP.Import.for.SketchUp.v1.0-NoPE\setup" S3 gdrv; \??\C:\Windows\gdrv.sys [X] U2 Remote Solver for Flow Simulation 2013; No ImagePath U2 Remote Solver for Flow Simulation 2014; No ImagePath HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3642197454-799934318-2658753277-1001\...\Run: [Galileo] => C:\Users\CAD Create\AppData\Local\Galileo\galileo.exe silent HKU\S-1-5-21-3642197454-799934318-2658753277-1001\...\Run: [KiesAirMessage] => C:\Program Files (x86)\Samsung\Kies\KiesAirMessage.exe -startup HKU\S-1-5-21-3642197454-799934318-2658753277-1001\...\Run: [infor Organizer] => "C:\Program Files (x86)\Infor PL\Infor Organizer\Infor.Organizer.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3642197454-799934318-2658753277-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.claro-search.com/?affID=116677&tt=5012_5&babsrc=HP_ss&mntrId=8ee7db390000000000006cf0490d6477 SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=116677&tt=5012_5&babsrc=SP_ss&mntrId=8ee7db390000000000006cf0490d6477 SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.claro-search.com/?q={searchTerms}&affID=116677&tt=5012_5&babsrc=SP_ss&mntrId=8ee7db390000000000006cf0490d6477 SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> {32BEBF68-42E3-4585-890E-F26575E4AA3A} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=302398&p={searchTerms} SearchScopes: HKU\S-1-5-21-3642197454-799934318-2658753277-1001 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\TEMP C:\Program Files (x86)\Mozilla Firefox\extensions C:\Users\CAD Create\AppData\Local\Google\Chrome\User Data\Default\Preferences CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz 3. Zrób nowy log FRST z opcji Scan - zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Temat przenoszę do działu Windows. Wprawdzie są widoczne szczątki adware, ale to nie jest przyczyna problemów. W spoilerze instrukcje doczyszczania owych szczątków, to operacje podrzędne bez wpływu na wydajność: Sugestie: 1. Pierwszy podejrzany w takich przypadkach to oprogramowanie zabezpieczające, tu: Avast + COMODO Firewall (zwłaszcza ten drugi). Testowo odinstaluj po jednym na raz, sprawdzając rezultaty. Przy okazji pozbądź się też zbędnika instalowanego z COMODO: GeekBuddy. 2. Za pomocą Autoruns możesz też wyłączyć niekrytyczne wpisy ze startu: ----> w karcie Logon odfajkuj: HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [96056 2015-03-15] (Hewlett-Packard) HKLM-x32\...\Run: [APSDaemon] => C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2015-05-21] (Apple Inc.) HKLM-x32\...\Run: [QuickTime Task] => C:\Program Files (x86)\QuickTime\QTTask.exe [421888 2015-05-21] (Apple Inc.) HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [334896 2015-06-12] (Oracle Corporation) HKU\S-1-5-21-3255530928-2953786320-3396913312-1000\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\Overwolf.exe [41200 2015-06-25] (Overwolf LTD) ----> W karcie Scheduled Tasks odfajkuj obiekty: Adobe, Google, HPCustParticipation HP Deskjet 2510 series, Lenovo Customer Feedback Program, Overwolf, Opera. Po akcji zresetuj system, by sprawdzić czy są efekty. 3. Jest też stosunkowo mało wolnego miejsca na dysku, co także może mieć znaczenie pod kątem spowolnienia: ==================== Drives ================================ Drive c: () (Fixed) (Total:74.53 GB) (Free:9.09 GB) NTFS

Tu nie ma co analizować logów pod kątem infekcji - golusieńkie, Windows świeżo po instalacji. Dziennik zdarzeń notuje uszkodzenie konta użytkownika, co wyjaśnia wszystkie opisane problemy: Application errors: ================== Error: (06/30/2015 04:41:21 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nie można odnaleźć określonego pliku. Klaruje się więc założenie nowego konta, bądź nawet postawienie systemu na nowo - błędów dużo więcej w Dzienniku, na dodatek opisujesz, że zatoczyłeś pełne koło: Skoro powyższy stan dewastacji to jest sytuacja po ponownym postawieniu systemu, na dodatek SFC także już ma zastrzeżenia, to problem wygląda na mający podłoże sprzętowe - uszkodzewnia pachną problemem z dyskiem. Temat przenoszę do działu Hardware na dalszą diagnostykę - dostarcz dane wymagane działem: KLIK.

Temat przenoszę do działu Windows. Nie jest to problem infekcji. Nie rozumiem dlaczego uruchomiłeś ComboFix (mimo ostrzeżeń na forum) i to już po zrobieniu raportów z nieinwazyjnego FRST, które m.in. po to są sprawdzane, by wykluczyć uruchamianie ComboFix. ComboFix użyty niepotrzebnie. Instalując skanery doprowadziłeś do katastrofalnego układu - równoległe działają procesy i sterowniki ESET Smart Security + Kaspersky Anti-Virus. Taki zestaw może doprowadzić nawet do blokady startu. Zacznij od redukcji instalacji. Dodatkowo odinstaluj też AVG Web TuneUp. PS. Po przeprowadzeniu deinstalacji kosmetyka i drobnostki do wykonania (usunięcie wpisów szczątkowych). Otwórz Notatnik i wklej w nim: S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] S3 rtsuvc; system32\DRIVERS\rtsuvc.sys [X] Task: {0888DCEB-AF87-4377-A6E5-F5D22443C492} - System32\Tasks\0814avUpdateInfo => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: {679E26E5-8CB0-493F-A758-D6BA988B3CC1} - System32\Tasks\mcleaner => C:\Users\Kuba\AppData\Roaming\4C9B.tmp.exe Task: {EC70056E-548F-4F44-BF6E-2F2F19B6324E} - System32\Tasks\{ABB18ED9-F236-402D-B224-89DDC41F2EE6} => pcalua.exe -a D:\TWEE_Upgrade.exe -d D:\ HKU\S-1-5-21-3160247180-4210161264-933964749-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com?cid={BDA19891-564A-4DBF-BE1A-B13DE6BB238E}&mid=e406d05991f547d2a330d18b80eab585-2c28e8520ca63e7829754cea03b43083786c50b5&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-12 22:33:37&v=4.1.0.411&pid=wtu&sg=&sap=hp C:\Program Files (x86)\Mozilla Firefox\distribution Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. + Takie zielone tło kojarzy się z akceleracją sprzętową. Na razie jednak wątek zostawiam, bo przy w/w układzie spodziewane problemy z wydajnością. Jeśli po redukcji koszmaru nadmiaru programów zabezpieczających nadal będą występować problemy, może być tu też i wątek sprzętowy (objawiony już w postaci autoresetów) i temat wtedy wyemigruje do działu Hardware na dalszą dsiagnostykę.

Plik F:\AUTORUN.INF nie dał się usunąć. Na tym pendrive nie ma za wiele danych - proponuję skopiować swoje ważne dane, a następnie sformatować urządzenie.

AdwCleaner nie wskazuje, by usuwał coś powiązanego z tym Facebookowym malware. W logach FRST oznak czynnej infekcji brak, tylko polityki blokujące Google Chrome. Jeśli chodzi o powolny i zawieszający się system, jest tu makabreska w postaci czynnych równocześnie sterowników Avast + AVG 2013. Avast nie został poprawnie odinstalowany. Działania do wykonania: 1. Deinstalacje: - Przejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility. - Opuść Tryb awaryjny i odinstaluj tradycyjnie przez Panel sterowania stare wersje Adobe Reader 9.3, AVG, Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2142848797-1288730675-1259261558-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2142848797-1288730675-1259261558-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2142848797-1288730675-1259261558-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear Toolbar: HKLM - avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF HKLM\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF S2 avast! Antivirus; "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [X] S3 FUTUREX; \??\C:\Program Files\AIDA32 - Enterprise System Information\aida32.sys [X] Task: {4CF4A269-48D2-49AA-AE9B-31AE7228606E} - System32\Tasks\{D74D2581-69BC-44B1-8808-19FA0AC407E7} => Firefox.exe Task: {7EC4643E-9779-44FE-823C-26138681FE00} - System32\Tasks\{4584820B-B919-4F75-9B07-63EFA2BFE678} => Firefox.exe Task: {C0A7C676-90F3-4A3D-8257-C81C2E5B1636} - System32\Tasks\{D638BBFD-6D5E-4AA2-9C29-A6A49CE6EAAC} => Firefox.exe Task: {FF9DF52B-E8A0-4C77-BDDB-09BE90819CAA} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan - zaznacz ponownie pole Addition (Shortcut już zbędny). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy.