picasso

Brak trzeciego pliku FRST Shortcut. Temat przenoszę do działu Windows. To nie jest problem infekcji. Z raportów nic też nie wynika konkretnego. Sugestie: 1. Odinstaluj zbędne firmowe aplikacje, np. ASUS Data Security Manager (o ile nie korzystasz z tego szyfratora). To usunie określone procesy, a także integrację z eksploratorem. Pozbądź się też File Association Helper. 2. Następnie przetestuj zachowanie systemu w stanie czystego rozruchu: KLIK. 3. Poboczne zadanie w spoilerze, tzn. usunięcie szczątkowych / pustych wpisów. Ten punkt nie ma znaczenia pod kątem zgłaszanych problemów.

W raportach nie widać żadnego czynnego obiektu pasującego do objawów, są tylko nieaktywne szczątki infekcji W Harmonogramie zadań. Jest możliwe, że ładowanie szkodnika zachodzi z miejsca, którego nie skanuje FRST. Będziemy szukać co odpala te procesy. Za to notuję uszkodzenia plików Windows: Winsock: Catalog5 03 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] () Winsock: Catalog5 04 C:\Windows\SysWOW64\pnrpnsp.dll [65024 2009-07-14] () Są też ślady kombinacji z aktywacją systemu. Na razie przeprowadź te akcje: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {420F8883-31F8-4B1D-BBE1-C3FAF1D267C2} - System32\Tasks\Update\taskhost => C:\Users\Piter\AppData\Local\Temp\taskhost.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3725198157-3711145802-2932217680-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\44364275.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\44364275.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 catchme; \??\C:\ComboFix\catchme.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKU\S-1-5-21-3725198157-3711145802-2932217680-1000_Classes\CLSID\{AE021FCC-750B-CDC1-A5FA-E4D4D250DC1D} /s CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Piter\AppData\Local CMD: dir /a C:\Users\Piter\AppData\LocalLow CMD: dir /a C:\Users\Piter\AppData\Roaming CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Jest tu jeszcze co czyścić, m.in. aktywne adware YouTube Accelerator w Winsock oraz zmodyfikowane skróty LNK przeglądarek kierujące na oursurfing.com. Do przeprowadzenia: 1. Odinstaluj adware Mouthpiece Notification. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {05CA4F16-C41D-4D20-BD7F-E9441B371280} - \SmartWeb Upgrade Trigger Task No Task File Task: {5B94828A-0A3B-41FB-B8C3-1A14834725BF} - \ShopperPro No Task File Task: {8F956E02-2741-4228-A6CC-5CB77BBC2A30} - \ShopperProJSUpd No Task File Task: {9D71992D-A317-4AF6-B938-96B59FDE380C} - \SPDriver No Task File Task: {AA26E772-EE3E-4FFC-A036-8FBE613FCBBD} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} Task: {AAAFAB6D-90C9-4D43-B6CF-2320B8C88B76} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {B4C04B14-090D-4E1F-A49A-B3DE9F0F367D} - \APSnotifierPP3 No Task File Task: {DAD458BB-568B-4946-9F45-2F9133517EF8} - \SPBIW_UpdateTask_Time_323238373130313733372d4a5b5b345a417845455a376c No Task File Task: {DBF4784D-234D-489F-A322-15800626ECAB} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [WinCheck] => C:\Users\Administrator\AppData\Local\F5A708FF-1432679338-11E3-9673-CE39E75C1B10\bnsh7D3E.exe [861696 2015-05-26] () HKU\S-1-5-21-3325632279-856947495-1742326175-500\...\Run: [Virtual WiFi Router] => "" HKU\S-1-5-21-3325632279-856947495-1742326175-500\...\RunOnce: [CleanupUninstallerTemp] => cmd.exe /c del /F /Q "%temp%\updater_uninstall.exe" /f CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.oursurfing.com/?type=sc&ts=1432672679&z=6e1253d79318ef88d43923cg8z0c6o7qem2odqftce&from=cmi&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF300055N HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-3325632279-856947495-1742326175-500 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: Google Chrome - Chrome.exe C:\Program Files (x86)\4269711e-b00b-412b-9fd9-d13df3fdba78 C:\Program Files (x86)\8d843763-d167-4df4-ab9a-d24ccbd91ac1 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\TEMP C:\Users\Administrator\AppData\Local\F5A708FF-1432679338-11E3-9673-CE39E75C1B10 C:\Users\Administrator\AppData\Local\globalUpdate C:\Users\Administrator\Downloads\Virtual WiFi Router 3.0.1.2 Setup.exe C:\Users\Public\Documents\GOOBZO RemoveDirectory: C:\Users\admin.p RemoveDirectory: C:\Users\lol DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset CMD: netsh winsock reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

meganne, powstarzymaj się z wykonaniem powyższych operacji końcowych. Ostatni log FRST wykazywał więcej wpisów do usunięcia - zmodyfikowane skróty LNK przelądarek, czynny sterownik adware Sambreel, usługa IHProtect Service (usunięto tylko powiązany folder "XTab" z dysku) oraz kilka innych wpisów. Są nadal modyfikacje skrótów, stąd problem: ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3d7b04f33994a698\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1420019463&from=wpm12311&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT Kolejne acje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}Gw64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}Gw64.sys [61120 2014-04-24] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [157824 2015-05-20] (XTab system) S3 Tosrfcom; No ImagePath BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-05-20] (Thinknice Co. Limited) Toolbar: HKU\S-1-5-21-3394211285-2232929740-4212499475-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT ShortcutWithArgument: C:\Users\Meg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3d7b04f33994a698\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1420019463&from=wpm12311&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1402681045&from=wpm0612&uid=TOSHIBAXMK2565GSXN_11V1PBYQTXX11V1PBYQT CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [Not Found] CHR HKU\S-1-5-21-3394211285-2232929740-4212499475-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Meg\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [ainbkicbloikcngphmjfpjdemblcojdd] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\slidebar.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Meg\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-10-21] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Meg\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files (x86)\Gophoto.it\gophotoit16.crx [Not Found] Task: {750E3FF2-B25D-443F-87E9-4B853D81464B} - System32\Tasks\{3798AAF7-7581-40C2-859E-182F69805B7C} => pcalua.exe -a "C:\Program Files (x86)\Picexa\uninstall.exe" C:\Program Files\Enigma Software Group C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony C:\Users\Meg\AppData\Local\CRE C:\Users\Meg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\Meg\Desktop\różne\DAEMON Tools Lite.lnk C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Szczątkowy PragmaEngine zostanie dokasowany ręcznie. Poza tym, wszystko poszło sprawnie. Kolejna porcja zadań: NA KONCIE JAROSŁAW: 1. Otwórz Notatnik i wklej w nim: S1 tbfd_1_10_0_16; system32\drivers\tbfd_1_10_0_16.sys [X] BootExecute: autocheck autochk * sdnclean64.exe HKU\S-1-5-21-2702069576-3377963828-517850969-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://us.yhs4.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKU\S-1-5-21-2702069576-3377963828-517850969-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFzytFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDtCyB0ByEyD0A0CtGyBzyyB0AtG0F0AyCtAtGzz0BtC0BtGtBtDtB0C0DyB0A0A0A0A0Dzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyEtD0A0EtAyC0FtGyCzyyDzztGyEtDtB0CtG0A0DtD0BtGyBzytAtAtA0D0AyDtDyCyCyC2QtN0A0LzutBtN1B2Z1V1T1S1NzuyByCtD%26cr%3D1604865532%26a%3Dwncy_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wncy_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFzytFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2SyDtCyB0ByEyD0A0CtGyBzyyB0AtG0F0AyCtAtGzz0BtC0BtGtBtDtB0C0DyB0A0A0A0A0Dzz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyEtD0A0EtAyC0FtGyCzyyDzztGyEtDtB0CtG0A0DtD0BtGyBzytAtAtA0D0AyDtDyCyCyC2QtN0A0LzutBtN1B2Z1V1T1S1NzuyByCtD%26cr%3D1604865532%26a%3Dwncy_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1001 -> {F8A0E0EF-4654-4F6D-BEB8-2DA3CFF26712} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} CMD: del /q C:\Users\Jarosław\AppData\Roaming\regsvr32.exe_log.txt RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\Users\Piotrek RemoveDirectory: C:\WINDOWS\System32\Tasks\Safer-Networking Folder: C:\Users\Jarosław\AppData\Roaming\Toadwater JTWC DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "PC Suite Tray" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "TornTv Downloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v TornTvDownloader.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Chromium /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{9b6ed4d7} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Security Protection Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj jeszcze Usuń). Log powstanie w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Wszystko wykonane i możemy kończyć: 1. Dokasuj ręcznie te puste skróty z dysku: Shortcut: C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk -> C:\Program Files (x86)\TeamViewer\TeamViewer.exe (No File) Shortcut: C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk -> C:\Program Files (x86)\TeamViewer\TeamViewer.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switch Sound File Converter.lnk -> C:\Program Files (x86)\NCH Software\Switch\switch.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Trek New Worlds\Play Klingon Academy Video.lnk -> H:\MOVIES\KAPROMO.EXE (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Trek New Worlds\Play Starfleet Command Volume 2 Video.lnk -> H:\MOVIES\BINKPLAY.EXE (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QMAT\QMAT.lnk -> C:\Program Files (x86)\QMAT\qmat.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QMAT\Uninstall.lnk -> C:\Program Files (x86)\QMAT\uninstall.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Help HTML.lnk -> F:\Program Files.1\Quake3\Extras\Help\Index.htm (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Quake III Arena (English).lnk -> F:\Program Files.1\Quake3\Quakee.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Quake III Arena(Polish).lnk -> F:\Program Files.1\Quake3\Quakep.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Uninstall Quake III Arena.lnk -> F:\Program Files.1\Quake3\Unwise.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\GuildFTPd - FTP server deamon.lnk -> C:\Program Files (x86)\GuildFTPd\GuildFTPd.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\GuildFTPd help.lnk -> C:\Program Files (x86)\GuildFTPd\guildftpd.chm (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\Un-install GuildFTPd.lnk -> C:\Program Files (x86)\GuildFTPd\UNINSTALL.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GuildFTPd.lnk -> C:\Program Files (x86)\GuildFTPd\GuildFTPd.exe (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{BD3D1DF6-4081-4C30-ADFE-796812B105B7}\PlayTasks\0\Zagraj.lnk -> C:\Program Files (x86)\GOG.com\Unreal Tournament 2004\System\UT2004.exe (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{8D64A05D-85CA-4F74-84A4-839F39E05E06}\PlayTasks\0\Zagraj.lnk -> C:\Users\Witold\Desktop\blood2\BLOOD2.EXE (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{401CDFA4-17DD-4975-8FD2-DC0F494437CC}\PlayTasks\0\Zagraj.lnk -> F:\Program Files.1\DeadLock2\DEADLOCK.EXE (No File) 2. Usuń folder C:\Users\Witold\Desktop\cleanery\FRST. Po tym jeszcze zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Do analizy raportów nie ma poradników, bo tego nie da się nauczyć w oparciu o "opis". Jest po prostu wymagana określona wiedza o systemie operacyjnym oraz infekcjach, potrzebne też lata praktyki, by prawidłowo definiować szkodliwość wpisów. Temat był dyskutowany np. tu: KLIK, KLIK (post Naathim). Jedyne co istnieje, to tutoriale obsługi narzędzi (np. ten linkowany FRST), ale to inny gatunek: to tylko opis możliwości programu, ten tutorial koncentruje się na tym co umie FRST a nie użytkownik i już zakłada że wiele rzeczy delikwent wie i nie objaśnia określonych aspektów które już należy wiedzieć przystępując do pracy z FRST (np. budowa rejestru i kont, sekwencja startowa systemu, metody ładowania, zestaw domyślnych usług Windows, budowa przeglądarek, uprawnienia, linki symboliczne, etc, etc.). I nie należy się uczyć "pod narzędzie", bo co gdy FRST zostanie zastąpiony czymś innym. Narzędzia się zmieniają, pewna wiedza musi być stała, by móc analizować niezależnie od formatowania narzędzi.

Aplikacje są blokowane przez Debugger, jeśli zostałaby zmieniona ich nazwa tymczasowo, uruchomiłyby się. Ta informacja była już w raporcie OTL i powinieneś otrzymać instrukcję zmiany nazwy FRST na inną, by program się uruchomił. IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe IFEO\AnVir.exe: [Debugger] svchost.exe IFEO\AutoLogger.exe: [Debugger] svchost.exe IFEO\avz.exe: [Debugger] svchost.exe IFEO\CCleaner.exe: [Debugger] svchost.exe IFEO\CCleaner64.exe: [Debugger] svchost.exe IFEO\FRST.exe: [Debugger] svchost.exe IFEO\FRST64.exe: [Debugger] svchost.exe IFEO\HiJackThis.exe: [Debugger] svchost.exe IFEO\regedit.exe: [Debugger] svchost.exe IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSIT.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe Udało Ci się uruchomić FRST przypadkowo, gdyż pobrałeś drugą kopię i Windows przypisał antykolizyjną nazwę = nazwa FRST64(1).exe nie jest blokowana: (Farbar) C:\Users\ALBI\Downloads\FRST64(1).exe A reklamę przy starcie produkuje ten wpis: HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware Ask Shopping Toolbar oraz podejrzany Tibia MULTI-ip changer. - Stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Shockwave Player 12.1, Akamai NetSession Interface, AVG Web TuneUp, Splashtop Connect for Firefox, Splashtop Connect IE. 2. Pobierz najnowszy FRST i zmień mu nazwę na dowolną. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\adwcleaner_4.203.exe: [Debugger] svchost.exe IFEO\AnVir.exe: [Debugger] svchost.exe IFEO\AutoLogger.exe: [Debugger] svchost.exe IFEO\avz.exe: [Debugger] svchost.exe IFEO\CCleaner.exe: [Debugger] svchost.exe IFEO\CCleaner64.exe: [Debugger] svchost.exe IFEO\FRST.exe: [Debugger] svchost.exe IFEO\FRST64.exe: [Debugger] svchost.exe IFEO\HiJackThis.exe: [Debugger] svchost.exe IFEO\regedit.exe: [Debugger] svchost.exe IFEO\RegWorks.exe: [Debugger] svchost.exe IFEO\RSIT.exe: [Debugger] svchost.exe IFEO\RSITx64.exe: [Debugger] svchost.exe HKLM-x32\...\Run: [CMD] => cmd.exe /c start http://zenigameblinger.org && exit HKLM-x32\...\Run: [ZyngaGamesAgent] => "C:\Program Files (x86)\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe" HKU\S-1-5-21-1777344016-223336502-1957142066-1000\...\Run: [LG LinkAir] => [X] Task: {0960617B-B89C-4131-BE6C-E1436CC57DE1} - System32\Tasks\{E58E33E5-2AB6-4F6D-A186-D842B104BAB9} => pcalua.exe -a C:\Users\ALBI\Downloads\LeagueofLegends_EUNE_Installer_06_17_13.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\ALBI\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:5892 Task: {1E6554B2-7BCA-442E-8B69-BABA855D5C6C} - System32\Tasks\{3E2464A1-58DD-4A55-8FF6-20E8D7E2383E} => pcalua.exe -a "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\APNSetup.exe" -d C:\Windows\system32 -c /ucheck=ORJ /cbid=^U3 /dtid=^OSJ000^YY^PL /guid=940AF103-EECB-4426-B3A6-86DE712D48DD /pvresion=12.10.6.60 /platform=V7 Task: {30B92BFF-FB2C-406C-9B84-B499C9B13AC6} - System32\Tasks\{60D15184-8D98-4F6C-9F77-FB72D8350FD8} => pcalua.exe -a C:\Users\ALBI\Downloads\gfwlivesetup.exe -d C:\Users\ALBI\Downloads Task: {5AD8AB46-85B0-42D9-8694-C542333C22AB} - System32\Tasks\{5A690342-97E2-4FE1-AE39-0C9C8B60E8AB} => pcalua.exe -a "D:\Program Files (x86)\Codemasters\FUEL\GameSetup.exe" -d "D:\Program Files (x86)\Codemasters\FUEL" Task: {7E9AC423-A711-4336-91F8-53C8D560B484} - System32\Tasks\{567BB1A8-B8C6-485F-BAD0-A103841526F0} => pcalua.exe -a C:\Users\ALBI\Desktop\pbsetup.exe -d C:\Users\ALBI\Desktop Task: {C23DAFFE-2B58-4A23-9039-0F762E4FE21B} - System32\Tasks\{06950282-B277-432F-884D-0C14FBC339B3} => pcalua.exe -a C:\Users\ALBI\Downloads\NexonEU_Installer.exe -d C:\Users\ALBI\Downloads Task: {F011FA9A-EAB8-4EF0-AE71-884770DC2D99} - System32\Tasks\{B2A796AD-159B-4E31-8928-01DFB95BDEEE} => pcalua.exe -a C:\Users\ALBI\Downloads\CurseClientSetup.exe -d C:\Users\ALBI\Downloads Task: {FE055A1B-F659-4AD0-BB9B-AC0FC225553F} - System32\Tasks\{7BAFE834-ED10-48BC-AAB3-BFE29D0C0B3F} => pcalua.exe -a C:\Users\ALBI\Downloads\pbsetup.exe -d C:\Users\ALBI\Downloads S4 LMIRfsClientNP; No ImagePath S3 ALSysIO; \??\C:\Users\ALBI\AppData\Local\Temp\ALSysIO64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S2 LMIInfo; \??\D:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\21338990.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\21338990.sys => ""="Driver" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141013 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141013 HKU\S-1-5-21-1777344016-223336502-1957142066-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={4D362D25-F19D-48F7-AED2-A650065BBD02}&mid=996225d4cb1647d2b20e81ac0f21a2cc-c343ff5a1fbe258d1f8c3f518f630eb193fa08af&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215av&pr=fr&d=2015-03-13 10:24:49&v=4.1.0.411&pid=wtu&sg=&sap=hp HKU\S-1-5-21-1777344016-223336502-1957142066-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-1777344016-223336502-1957142066-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie URLSearchHook: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {4CD4B81E-EFE3-478a-AE16-D6E1F5DDC596} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={4D362D25-F19D-48F7-AED2-A650065BBD02}&mid=996225d4cb1647d2b20e81ac0f21a2cc-c343ff5a1fbe258d1f8c3f518f630eb193fa08af&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415tb&pr=fr&d=2015-03-13 10:24:49&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {DC7A58EC-3162-4b07-A45A-65DA977396C5} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {FCDA4D90-0551-4518-9F07-E095278C5CFE} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=940AF103-EECB-4426-B3A6-86DE712D48DD&apn_sauid=B4FA79D0-F7E1-4B33-ACA4-6D7820C98418 SearchScopes: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKLM-x32 - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-1777344016-223336502-1957142066-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @qq.com/TXSSO -> C:\Program Files (x86)\Common Files\Tencent\TXSSO\1.2.1.94\Bin\npSSOAxCtrlForPTLogin.dll [2013-01-25] (Tencent) FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a1} FF HKLM-x32\...\Firefox\Extensions: [{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{91c612bf-2a7a-48b8-8c8c-6de28589b7a0} FF HKLM-x32\...\Firefox\Extensions: [{d9284e50-81fc-11da-a72b-0800200c9a66}] - C:\Program Files (x86)\Splashtop\Splashtop Connect for Firefox\{d9284e50-81fc-11da-a72b-0800200c9a66} Winsock: Catalog5 01 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 02 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 02 mswsock.dll File Not found ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{10B916CD-C572-414F-96AD-37D7CDF95DD8} C:\ProgramData\Microsoft\Windows\GameExplorer\{E8AE0286-9A63-4F4F-B479-0E4E4A2A8EB5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Client.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Control Panel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BaboViolent 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cossacks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Daum Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dying Light C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Forward Development C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gamepires C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mumble C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nordic Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia Map Viewer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Z8Games C:\Users\ALBI\Cata.lnk C:\Users\ALBI\putty.exe C:\Users\ALBI\AppData\Local\{1B1DE854-AEB3-4CC3-BEC9-523EEA050086} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{34A3BE74-871A-49BA-8608-55992860E8B2} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{3A4CE3B0-7348-472A-9DE8-7E0E74A4DE70} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{B5CF9AEB-F3A2-4ED6-8BB6-4BBB7F49AB0C} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{CCEE7874-A63B-41A4-A1C7-CACA045250B1} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{CF6D06B7-AB97-4D15-BDAA-CE0571BB3F9C} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{ECA8ACF4-E1CA-44BD-A5A4-040A7895452F} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{EF89F068-248D-4EBC-BA95-43789CCDC9BB} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{F01CB989-50DB-4937-ACE8-400205EFDF9C} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{F9C2CC4E-731E-4A54-86C7-83EEC06A499E} C:\Users\ALBI\AppData\Local\Microsoft\Windows\GameExplorer\{FD624853-148D-4EB8-994D-F9E986D21274} C:\Users\ALBI\AppData\Roaming\Babylon C:\Users\ALBI\AppData\Roaming\Logs C:\Users\ALBI\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\ALBI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dead Horde PL [ROKA1969] C:\Users\ALBI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Gamepires C:\Users\ALBI\AppData\Roaming\Opera Software C:\Users\ALBI\AppData\Roaming\Splashtop C:\Users\ALBI\AppData\Roaming\Tencent C:\Users\ALBI\AppData\Roaming\WebExtend C:\Users\ALBI\Documents\Rainmeter\Skins\WP7\@Resources\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.15 00.00-15\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.15 00.00-15\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.31-00\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.31-00\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.28-55\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.28-55\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.28-55\WP7\Background\refresh.exe - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.02-14\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 23.02-14\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 21.09-36\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 21.09-36\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.49-43\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.49-43\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.44-51\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.44-51\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.22-53\WP7\TextItems\Launcher\Icons - Shortcut.lnk C:\Users\ALBI\Documents\Rainmeter\Skins\@Backup\2012.05.14 19.22-53\WP7\Common\Variables\Languages\*.lnk C:\Users\ALBI\Gry\Bejeweled 3.lnk C:\Users\ALBI\Gry\BlackGold.lnk C:\Users\ALBI\Gry\City Car Driving.lnk C:\Users\ALBI\Gry\Colin McRae Rally Remastered.lnk C:\Users\ALBI\Gry\Cossacks - Back To War 1.35PL - KOZACY.ORG.lnk C:\Users\ALBI\Gry\Counter-Strike.lnk C:\Users\ALBI\Gry\Crysis3.exe — skrót.lnk C:\Users\ALBI\Gry\Dragon Age Origins.lnk C:\Users\ALBI\Gry\Drakensang Online.lnk C:\Users\ALBI\Gry\FlatOut 2.lnk C:\Users\ALBI\Gry\Need For Speed Rivals.lnk C:\Users\ALBI\Gry\Play Survarium.lnk C:\Users\ALBI\Gry\Tunngle beta.lnk C:\Users\ALBI\Programy\CloneDVD2.lnk C:\Users\Default\AppData\Roaming\TuneUp Software CMD: netsh advfirewall reset CMD: netsh winsock reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W menedżerze urządzeń jest wadliwy obiekt, pozostałość komercyjnej wersji: ==================== Faulty Device Manager Devices ============= Name: avast! Firewall NDIS Filter Miniport Description: avast! Firewall NDIS Filter Miniport Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: ALWIL Software Service: aswNdis Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > wyszukaj avast! Firewall NDIS Filter Miniport, zaznacz i odinstaluj, zresetuj system. 4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

To na pewno log po deinstalacji SpyBota? W logu nadal widać czynny program... Jeśli chodzi o adware, wygląda na usunięte. Teraz uruchom AdwCleaner, na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Ale zaraz, nie miałeś tego usuwać ręcznie, przecież ja w skrypcie FRST załączyłam usuwanie tego pliku! Jak byk stoi ścieżka: C:\Program Files (x86)\Mozilla Firefox\browser\defaults, załączona cała bo ta ścieżka domyślnie nie istnieje. W ogóle nie wykonałeś punktu numer 1, stąd nie było zmian. W skrypcie było też znacznie więcej rzeczy do wykonania. Tak więc, co się działo że punkt numer 1 nie został wykonany wcale? Powtarzaj punkty 1 oraz 4. To znaczy?

W systemie działa adware TermBlazer. Przy okazji, próbując rozwiązać problem pobierałeś: - YAC (Yet Another Cleaner) = program z czarnej listy i złodziej: KLIK. - Spybot - Search & Destroy z portalu dobreprogramy.pl, a to co pobrałeś jako plik początkowy to nie był instalator właściwy tylko śmieć portalowy "Asystent pobierania" - więcej na ten temat: KLIK. C:\Users\Zbyszek\Desktop\Spybot-Search-Destroy(12546)-dp.exe Akcje do przeprowadzenia: 1. Rozpocznij od deinstalacji adware via Panel sterowania: TermBlazer, PragmaEngine. Przy okazji odinstaluj też stare werje Java 7 Update 67, Java 8 Update 25 oraz zbędny przestarzały Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk [2014-08-23] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Jarosław\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-23] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Jarosław\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-23] ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 ShortcutWithArgument: C:\Users\Jarosław\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419329847&from=wpm12233&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} URLSearchHook: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 - SearchMe Toolbar - {B9C767DD-F66A-40B4-8F12-4199A9A4393C} - No File SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKLM -> {8CDE19E6-71C2-4B46-89B7-35F6A18C571A} URL = http://us.yhs4.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wny_ir_15_21&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dpl%26pa%3DWinYahoo%26cd%3D2XzuyEtN2Y1L1QzuyDtD0EyDyEzytA0Czy0F0FtAzz0ByBtAtN0D0Tzu0StCtBtAyDtN1L2XzutAtFtCtDtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StD0AyC0A0C0D0C0FtGyCtCyCtCtGzztB0FtDtGyByEzy0BtGtAyE0ByC0B0B0EyDzyyBtA0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2Szy0BtD0AtCtD0E0AtGtDtD0EtAtGyE0D0E0BtGzz0FyE0FtG0CtCtDzz0FzyyEtBtAzztC0C2QtN0A0LzutB%26cr%3D758467066%26a%3Dwny_ir_15_21%26os%3DWindows 8.1 Pro&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408800404&from=ild&uid=SAMSUNGXHD103SJ_S246J9KB517050&q={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1431343765&from=zzgbkk123&uid=samsungxhd103sj_s246j9kb517050&z=0d4816498545a7bea6c093fgbz8cbg6cdz9cdmdmdm&q={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 -> DefaultScope {AD89B854-D8E3-4BAF-95D4-768B02086866} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} SearchScopes: HKU\S-1-5-21-2702069576-3377963828-517850969-1005 -> {AD89B854-D8E3-4BAF-95D4-768B02086866} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Task: {26795CAE-2FF6-4DE7-A258-4852BE051BDD} - System32\Tasks\Chromium => C:\Users\Jarosław\AppData\Local\Chromium\Application\uninstall.exe [2015-05-20] () Task: {7CF25556-C851-4EEA-9300-EE7522984659} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {93400E6A-EFFC-462A-B438-67A14DC11A46} - \Optimize Start Menu Cache Files-S-1-5-21-2702069576-3377963828-517850969-1002 No Task File Task: {E6078781-991A-412C-806D-BD8B26527FDA} - \Optimize Start Menu Cache Files-S-1-5-21-2702069576-3377963828-517850969-1009 No Task File Task: {F841D911-66B2-4527-83FB-37761447B924} - System32\Tasks\MdmUpdateTaskMachineCore => C:\Users\Jarosław\AppData\Roaming\Toadwater JTWC\Caches\mdm [2015-04-21] () Task: C:\WINDOWS\Tasks\Chromium.job => C:\Users\JAROSA~1\AppData\Local\Chromium\APPLIC~1\UNINST~1.EXE S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\PragmaEngine C:\ProgramData\14440415289341703812 C:\ProgramData\freedealsapp C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\Users\Jarosław\AppData\Local\Gameo C:\Users\Jarosław\AppData\Local\Chromium C:\Users\Jarosław\AppData\Roaming\appdataFr3.bin C:\Users\Jarosław\AppData\Roaming\appdataFr25.bin C:\Users\Jarosław\AppData\Roaming\Elex-tech C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Jarosław\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\Jarosław\Desktop\*(*)-dp*.exe C:\Users\Jarosław\Downloads\*(*)-dp*.exe C:\Users\Zbyszek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Zbyszek\AppData\Local\Mozilla C:\Users\Zbyszek\AppData\Roaming\appdataFr3.bin C:\Users\Zbyszek\AppData\Roaming\appdataFr25.bin C:\Users\Zbyszek\AppData\Roaming\Mozilla C:\Users\Zbyszek\Desktop\Driver Cleaner 3.lnk C:\Users\Zbyszek\Desktop\*(*)-dp*.exe C:\Users\Zbyszek\Downloads\*(*)-dp*.exe C:\WINDOWS\system32\Drivers\iSafeKrnlBoot.sys C:\WINDOWS\system32\Drivers\iSafeNetFilter.sys C:\WINDOWS\system32\log RemoveDirectory: C:\Users\jar3k_000 CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. W systemie są aż trzy konta: ==================== Accounts: ============================= Jarosław (S-1-5-21-2702069576-3377963828-517850969-1001 - Administrator - Enabled) => C:\Users\Jarosław Piotrek (S-1-5-21-2702069576-3377963828-517850969-1009 - Administrator - Enabled) Zbyszek (S-1-5-21-2702069576-3377963828-517850969-1005 - Administrator - Enabled) => C:\Users\Zbyszek Wymagane raporty z każdego po kolei, z tym że Piotrek wygląda jak konto w ogóle nie zainicjowane jeszcze lub uszkodzone (brak ścieżki na dysku), więc to konto pomiń i po prostu usuń je via Panel sterowania całkowicie. Zaloguj się po kolei na Jarosława oraz Zbyszka poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika), na każdym zrób nowe logi FRST z opcji Scan (zaznacz pola Addition i Shortcut) - czyli ma powstać 6 logów. Dołącz też plik fixlog.txt.

Rucek, temat na razie zostawiam otwarty, do czasu potwierdzenia co widać w autoryzowanych aplikacjach na Facebooku oraz czy spam nadal ma miejsce.

DelFix wykonał zadanie. Usuń z dysku plik C:\Delfix.txt. W raporcie były widoczne dwa pliki GMER: 2015-05-24 23:05 - 2014-01-28 19:36 - 00380416 _____ () C:\Users\Przemek\Desktop\gmer.exe 2015-05-24 23:02 - 2015-05-24 23:02 - 00380416 _____ () C:\Users\Przemek\Downloads\xsg2n8de.exe I nic więcej nie powinno być od GMER na dysku. O jakich wynikach mowa / gdzie? Nie, nie zadałam czyszczenia partycji Recovery. To co innego niż systemowe Przywracanie systemu. A Przywracanie jako takie w ogóle nie powinno być czynne na partycji Recovery (domyślnie tylko systemowa temu podlega). Nic nie grzeb.

"Niekompatybilny program". Skutkiem tych operacji deinstalacyjnych jest pojawienie się nowego zadania w Harmonogramie. Zajmę się jego usuwaniem potem. Task: {2B249E86-CACC-4AFD-A696-5D10CD1937BA} - System32\Tasks\{50EE199C-3573-475E-9D58-842C71A1309C} => pcalua.exe -a "C:\Users\Ania\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Tak, gdyż w skrypie FRST została załączona komenda "netsh advfirewall reset" = reset reguł Zapory systemu Windows. W związku z tym programy wymagające dostępu do sieci muszą być ponownie autoryzowane. Ogólnie zadania pomyślnie wykonane. Od adware "Sale Charger" ostał się jeszcze jeden pusty wpis. Teraz uruchom AdwCleaner, na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Ale to najlepsza metoda. W takich przypadkach należy użyć natywny deinstalator danej aplikacji. Usuwanie za pomocą programów trzecich może skutkować pozostawieniem większej ilości śmieci. To była pomyłka. Komponenty CAD-owskiego programu. Post powyżej usuwam - zamiennie instrukcje z większą ilością elementów do usunięcia: 1. Do deinstalacji było więcej obiektów adware: Commercial Extension Cable, CurrencyShow, DiscountSmasher, Distributed Computing Experiment, FindBaeosttDeal, Happy2SaviE, KeepersEixt, TSearch. Jeśli tego samodzielnie już nie odinstalowałeś, wykonaj to. Następnie: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [WinCheck] => C:\Users\GG Projekt 13\AppData\Local\03000200-1432201896-0500-0006-000700080009\bnsy3A47.exe [273408 2015-05-21] () S2 2df638ba; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\LibraryApps\LibraryApps.dll",serv U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-05-21] (电脑管家) S3 catchme; \??\C:\ComboFix\catchme.sys [X] U2 DCE; No ImagePath S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TS888x64.sys [X] S1 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\TsDefenseBT64.sys [X] S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QQPCRtp.exe" -r [X] S2 Update Web Amplified; "C:\Program Files (x86)\Web Amplified\updateWebAmplified.exe" [X] S2 Util Web Amplified; "C:\Program Files (x86)\Web Amplified\bin\utilWebAmplified.exe" [X] Task: {01316ED0-5C1E-46BA-A2BC-1074C643ED66} - System32\Tasks\{CA3536A6-5897-4EFD-9C74-9174E5B192FE} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe -c /M{457D7505-D665-4F95-91C3-ECB8C56E9ACA} Task: {0FCCAA24-92D8-4191-9396-2FA11AB11486} - System32\Tasks\UNELEVATE_54 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {159BD493-2DB1-4B21-A8BE-F33062ECA4EE} - System32\Tasks\Update Service for Torrent Search => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe [2015-05-20] () Task: {6A076CFF-1D9A-4039-AC26-542D7416BBCC} - System32\Tasks\UNELEVATE_9616 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {8C1877E9-A271-442A-A6BF-E7B4202018A1} - System32\Tasks\UNELEVATE_7262 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {AE944D4F-5897-4B36-8F10-1FA19DCB41EC} - System32\Tasks\UNELEVATE_14614 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.193\jsdrv.exe Task: {C0117BF4-FD36-4346-ADB0-F40062056404} - System32\Tasks\Update Service for Torrent Search2 => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe [2015-05-20] () Task: C:\Windows\Tasks\Update Service for Torrent Search.job => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe Task: C:\Windows\Tasks\Update Service for Torrent Search2.job => C:\Program Files (x86)\Torrent Search\P9qQBHj.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1967409539-1089874523-638691166-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=98016256_hao_pg HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-1967409539-1089874523-638691166-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1967409539-1089874523-638691166-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=98016256_hao_pg HKU\S-1-5-21-1967409539-1089874523-638691166-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text={searchTerms} SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text={searchTerms} SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text={searchTerms} SearchScopes: HKU\S-1-5-21-1967409539-1089874523-638691166-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text= BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3198\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=6a7fa1215d6ed801e3c2090a735f9705&text= HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" C:\Program Files (x86)\ChEApMMee C:\Program Files (x86)\Crossbrowse C:\Program Files (x86)\DiogiSaver C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Happy2SaviE C:\Program Files (x86)\RobooSaveir C:\Program Files (x86)\Silver Bird Plus Twitter Client C:\Program Files (x86)\Tencent C:\Program Files (x86)\TremendousSAlea C:\Program Files\Common Files\Tencent C:\ProgramData\{81b8c1b6-08fc-ac46-81b8-8c1b608f06d8} C:\ProgramData\eSafe C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\Users\GG Projekt 13\AppData\Local\03000200-1432201896-0500-0006-000700080009 C:\Users\GG Projekt 13\AppData\Local\genienext C:\Users\GG Projekt 13\AppData\Roaming\Elex-tech C:\Users\GG Projekt 13\AppData\Roaming\Tencent C:\Users\GG Projekt 13\AppData\Roaming\TSearch C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\system32\log C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

Wszystko zostało pomyślnie usunięte. Na zakończenie: Zastosuj DelFix, by usunąć używane narzędzia (GMER dokasuj ręcznie), oraz wyczyść foldery Przywracania systemu: KLIK.

Był używany SpyHunter - to naciągacz, program z czarnej listy. Na dysku są też pliki "Asystenta pobierania" dobrychprogramów i na ten temat: KLIK. W raportach nie widzę nic wyraźnego z zakresu adware - jedyny podejrzany obiekt w Firefox to poniższy wpis, a IE może mulić z innych powodów (np. aktywność BitDefender). FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-05-21] Na razie przeprowadź te działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150521 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150521 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1572094257-1959856312-2968495689-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150521 BHO: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File BHO-x32: No Name -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> No File BHO-x32: No Name -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> No File Task: {14F9DB41-17C4-4C75-BFA1-52A423547076} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe Task: {25ACFF3A-7711-4FF2-855A-D3C943CCEF3E} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe S3 esgiguard; No ImagePath C:\Program Files (x86)\AVG C:\Program Files (x86)\GUT2CF8.tmp C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Opera C:\ProgramData\AVG C:\Users\USER\AppData\Local\nsm4E3.tmp C:\Users\USER\AppData\Local\nsxACD9.tmp C:\Users\USER\AppData\Local\Avg C:\Users\USER\AppData\Local\Opera Software C:\Users\USER\AppData\Roaming\AVG C:\Users\USER\AppData\Roaming\Enigma Software Group C:\Users\USER\AppData\Roaming\Opera Software C:\Users\USER\Start Menu\Programs\SpyHunter C:\Users\USER\Desktop\SpyHunter.lnk C:\Users\USER\Desktop\*(*)-dp*.exe C:\Users\USER\Desktop\Irok\v\Free Games & Music.lnk C:\Users\USER\Desktop\Irok\v\RealPlayer SP.lnk C:\Users\USER\Downloads\*(*)-dp*.exe C:\Users\USER\Downloads\SpyHunter-installer.exe C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\SysWOW64\Z Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_pl_113" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy i które problemy nadal mają miejsce.

Brakuje trzeciego raportu FRST, czyli Shortcut. FRST i CCleaner owszem były blokowane przez szkodliwe wpisy typu Debugger, które usunąłeś. Do przeprowadzenia jeszcze kosmetyczne działania na szczątki / puste wpisy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...A8F59079A8D5}\localserver32: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4263293795-372819126-2868305949-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\41371262.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\41371262.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service" CustomCLSID: HKU\S-1-5-21-4263293795-372819126-2868305949-1001_Classes\CLSID\{6BD7997B-1A81-3AAB-94B8-FFAC3FC7A9B4}\InprocServer32 -> No File path Task: {EBADDD0A-C6DC-4663-8AC5-D0E741DE483B} - System32\Tasks\{10CA96F0-5693-4304-8C6B-A1DC2E7BDFCB} => Iexplore.exe http://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?page=tsMain S3 sthid; C:\Windows\System32\drivers\sthid.sys [21216 2015-01-06] (Splashtop Inc.) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [37624 2015-05-25] () C:\Windows\System32\drivers\sthid.sys C:\Windows\System32\drivers\TrueSight.sys DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Owszem, jest tu infekcja - wielokrotne wystąpienie system.exe w starcie, oraz adware Sale Charger. Adware dostało się do systemu przy udziale "Asystenta pobierania" dobrychprogramów.pl. Więcej na ten temat: KLIK. 2015-05-18 00:29 - 2015-05-18 00:29 - 00741672 _____ (Web software ) C:\Users\Ania\Downloads\PC-Inspector-File-Recovery(11565)-dp.exe Niemniej wyliczone obiekty mogą wcale nie mieć związku z opisywanymi objawami i przegrzewaniem. Na razie doczyść infekcję i zobaczymy: 1. Przez Panel sterowania odinstaluj adware: Bundled software uninstaller, Sale Charger. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [system.exe] => C:\Users\Ania\AppData\Local\Temp\system.exe [698843 2013-05-16] () HKU\S-1-5-21-3068530862-1638747248-2017865010-1000\...\Run: [system.exe] => C:\Users\Ania\AppData\Local\Temp\system.exe [698843 2013-05-16] () Startup: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.exe [2015-01-29] () R2 Service Mgr SaleCharger; C:\ProgramData\322cb724-1680-423d-8862-1b52ca5027ad\plugincontainer.exe [556304 2015-05-22] () R2 Update Mgr SaleCharger; C:\Program Files (x86)\Common Files\322cb724-1680-423d-8862-1b52ca5027ad\updater.exe [478992 2015-05-22] () S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-3068530862-1638747248-2017865010-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3068530862-1638747248-2017865010-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Sale Charger C:\Program Files (x86)\Common Files\322cb724-1680-423d-8862-1b52ca5027ad C:\ProgramData\322cb724-1680-423d-8862-1b52ca5027ad C:\Users\Ania\Desktop\Continue PC Inspector File Recovery installation.lnk C:\Users\Ania\Downloads\*(*)-dp*.exe C:\Users\Ania\Downloads\jxpiinstall(*).exe DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Sale Charger Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy nadal są w systemie.

Brak oznak czynnej infekcji, widać tylko szczątki adware SanctionedMedia. Kosmetyczne działania pod kątem wpisów pustych: 1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll No File FF Plugin HKU\S-1-5-21-1644617884-16204230-2921145980-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File FF HKU\S-1-5-21-1644617884-16204230-2921145980-1000\...\Firefox\Extensions: [{b9aa91db-385d-4c69-8a2f-96790aa9405b}] - c:\program files (x86)\copernic\desktopsearch4\firefoxconnector CHR HKU\S-1-5-21-1644617884-16204230-2921145980-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cnnbdaahphjgdgfhliignpepgnbnfomp] - c:\program files (x86)\copernic\desktopsearch4\ChromeConnector\ChromeConnector.crx [Not Found] BHO: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File CustomCLSID: HKU\S-1-5-21-1644617884-16204230-2921145980-1000_Classes\CLSID\{110E1B4C-8164-7876-4A69-32AC5FDF49DF}\InprocServer32 -> No File Task: {0501EF9B-47CA-42F2-950D-448E5967AE46} - System32\Tasks\{CD914594-C0E2-42EB-B67F-243EDBB5FB66} => pcalua.exe -a "C:\Program Files (x86)\MKJogo\MKLOL\MKuInst.exe" Task: {1291B8E5-8CCE-4952-8579-D552DCB8D5FE} - System32\Tasks\{FA682C3E-433D-4F51-8DBE-C5DEC150EBF6} => pcalua.exe -a C:\Users\Adrian\Desktop\vcredist_x86.exe -d C:\Users\Adrian\Desktop Task: {62F62520-6356-4E2A-A34F-47ABE5A74E4E} - System32\Tasks\{FF70E406-8432-4A02-9AC8-72D66D9F8B75} => pcalua.exe -a "C:\Program Files (x86)\MKJogo\MKLOL\MKuInst.exe" Task: {B68D93B9-AB74-4924-A58B-4D0C70291958} - System32\Tasks\{520B95F6-F464-42AE-960D-5613A375238F} => C:\Users\Adrian\Desktop\leaguesharp\LeagueSharp.Loader.exe Task: {D5343D8B-4498-4244-9902-4DDACB385D3B} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\mntemp C:\Users\Adrian\AppData\Local\nss6AFA.tmp C:\Users\Adrian\AppData\Local\SanctionedMedia Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Smad /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SwOffScheduler" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SwOffWeb" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\360sd" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smad" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

W systemie aktywna kupa sterowników adware, na poziomie Firefox jest adware ver1SpeedCheck, a przeglądarka Google Chrome została przez adware przekonwertowana do wersji "developerskiej" i wymagana reinstalacja od zera. Do wdrożenia: 1. Przez Panel sterowania odinstaluj zbędnik Bing Bar oraz poszkodowane przez adware Google Chrome. Nie instaluj tej przeglądarki dopóki nie zostanie wykonany punkt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1fceab11-b7eb-4010-811f-3f56268f9366}Gw64; C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}Gw64.sys [48776 2014-12-30] (StdLib) R1 {2b4f8230-394e-4951-9495-bafd44d837da}Gw64; C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}Gw64.sys [48776 2014-12-27] (StdLib) R1 {3211ae5b-d056-4176-9f6e-b51496f003f1}Gw64; C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}Gw64.sys [48776 2014-12-11] (StdLib) R1 {3283b201-5c22-4a7d-8767-24ec5d376ea3}Gw64; C:\Windows\System32\drivers\{3283b201-5c22-4a7d-8767-24ec5d376ea3}Gw64.sys [48776 2014-12-09] (StdLib) R1 {34cccceb-a541-48ac-a26b-92818f06439d}Gw64; C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}Gw64.sys [48776 2015-01-02] (StdLib) R1 {47a3b56f-80e6-4ea5-8093-7656ffd5c11a}Gw64; C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}Gw64.sys [48776 2014-12-15] (StdLib) R1 {8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64; C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64.sys [48776 2014-12-21] (StdLib) R1 {97daceee-c4d3-4ae1-975b-b77d85ce2d13}Gw64; C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}Gw64.sys [48776 2014-12-24] (StdLib) R1 {993baf86-643c-42e9-95e5-094f337533f0}Gw64; C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gw64.sys [48776 2014-12-18] (StdLib) R1 {9eaa49e2-6918-49c4-9a04-be590dd80dc6}Gw64; C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}Gw64.sys [48776 2015-01-05] (StdLib) R1 ccnfd_1_10_0_5; C:\Windows\System32\drivers\ccnfd_1_10_0_5.sys [58232 2014-12-12] (ClickCaption) R2 webinstrNewH; C:\Windows\system32\Drivers\webinstrNewH.sys [106456 2014-12-23] (Corsica) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF HKU\S-1-5-21-3488301984-1419051250-2166679065-1002\...\Firefox\Extensions: [{90344A70-EE77-AEF2-6F86-28FB25040EDE}] - C:\Program Files (x86)\ver1SpeedCheck\184.xpi FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File HKU\S-1-5-21-3488301984-1419051250-2166679065-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://myhome.vi-view.com/web/?type=ds&ts=1418161599&from=cor&uid=HitachiXHTS547575A9E384_J2140054FY1JAAFY1JAAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://myhome.vi-view.com/web/?type=ds&ts=1418161599&from=cor&uid=HitachiXHTS547575A9E384_J2140054FY1JAAFY1JAAX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3488301984-1419051250-2166679065-1002\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3488301984-1419051250-2166679065-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank HKU\S-1-5-21-3488301984-1419051250-2166679065-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRbPPq_NcKDZkQXPy4TZR44LspvC9sb99JtP_960mB0xkw-HWovJZ93XGZ80FcSjXIMBclkbVRn2Rg2b20No_WIBK6855c9WcGyLXPvjKih2dyhQ2lhckPExLZYO417MuO8PcFGr6UUAjpjpdj5wmoCU3GdIv1-w73j-pMoQZx6ZpEWwf&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488301984-1419051250-2166679065-1002 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488301984-1419051250-2166679065-1002 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRbPPq_NcKDZkQXPy4TZR44LspvC9sb99JtP_960mB0xkw-HWovJZ93XGZ80FcSjXIMBclkbVRn2Rg2b20No_WIBK6855c9WcGyLXPvjKih2dyhQ2lhckPExLZYO417MuO8PcFGr6UUAjpjpdj5wmoCU3GdIv1-w73j-pMoQZx6ZpEWwY&q={searchTerms} SearchScopes: HKU\S-1-5-21-3488301984-1419051250-2166679065-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3488301984-1419051250-2166679065-1002 -> {D9DFA36E-064F-482C-B041-BFBE00CE54B8} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=353 SearchScopes: HKU\S-1-5-21-3488301984-1419051250-2166679065-1002 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: No Name -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> No File Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - No Name - {8dcb7100-df86-4384-8842-8fa844297b3f} - No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\ver1SpeedCheck C:\Users\Paula\AppData\Local\Google C:\Users\Paula\AppData\Roaming\sp_data.sys C:\Users\Paula\AppData\Roaming\TMVHZJB.exe C:\Users\Paula\AppData\Roaming\WEZSFQQ.exe C:\Users\Public\Desktop\ASUS\Entertainment\Game Park Console.lnk C:\Windows\System32\drivers\{1fceab11-b7eb-4010-811f-3f56268f9366}Gw64.sys C:\Windows\System32\drivers\{2b4f8230-394e-4951-9495-bafd44d837da}Gw64.sys C:\Windows\System32\drivers\{3211ae5b-d056-4176-9f6e-b51496f003f1}Gw64.sys C:\Windows\System32\drivers\{3283b201-5c22-4a7d-8767-24ec5d376ea3}Gw64.sys C:\Windows\System32\drivers\{34cccceb-a541-48ac-a26b-92818f06439d}Gw64.sys C:\Windows\System32\drivers\{47a3b56f-80e6-4ea5-8093-7656ffd5c11a}Gw64.sys C:\Windows\System32\drivers\{8aefbcaf-640f-4dca-9a92-ed05ee387238}Gw64.sys C:\Windows\System32\drivers\{97daceee-c4d3-4ae1-975b-b77d85ce2d13}Gw64.sys C:\Windows\System32\drivers\{993baf86-643c-42e9-95e5-094f337533f0}Gw64.sys C:\Windows\System32\drivers\{9eaa49e2-6918-49c4-9a04-be590dd80dc6}Gw64.sys C:\Windows\System32\drivers\ccnfd_1_10_0_5.sys C:\Windows\system32\drivers\webinstrNewH.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{be0fb33b} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Davred Proszę przeczytać zasady działu jak się prezentuje raporty, oraz ile plików FRST jest obowiązkowych (brakuje trzeciego Shortcut): KLIK. Nie należy ich wklejać w poście. Temat porządkuję, raporty przenoszę do załączników. Pytaniem jest czy ten problem na pewno występuje po użyciu AdwCleaner (ewidentne ślady w logu wskazujące na użycie przed zrobieniem raportów FRST). Proszę dostarczyć logi z folderu C:\AdwCleaner. W raportach FRST brak oznak czynnej infekcji dopasowanej do objawów (i mającej wpływ na dwie przeglądarki ma raz). PS. Podany powyżej Fix to kosmetyka i usuwa tylko szczątkowe, bądź nieaktywne wpisy - żaden z nich nie może mieć związku z objawami. Dodatkowo jeszcze wykonaj reset wtyczek Google Chrome, by pozbyć się pustych wpisów (w tym po adware globalUpdate): W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Zappa Wycięłam ze skryptu przetwarzanie folderu C:\Windows\ShellNew (domyślny folder Windows) oraz reinstalatora Norton Identity Safe: CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx

Temat przenoszę, na razie do działu Windows, ale może i w Sieciach wyląduje. Infekcja nie jest przyczyną problemów. W systemie tylko drobne odpadki adware (np. LiveVDO), nie mają wpływu na żaden ze zgłoszonych problemów. W spoilerze doczyszczanie pustych wpisów i śmieci (nie pomoże pod kątem zgłoszonych problemów): 1. Sprawdź czy problemu nie tworzy przypadkiem Avast i/lub MBAM - testowa deinstalacja po kolei. 2. Odinstaluj nieużywane / zbędne programy firmowe np. programy Cyberlink czy Norton Online Backup, co utnie nieco procesów startowych. A po tym wyłącz pozostałe zbędne wpisy ze startu posługując się Autoruns: - W karcie Logon odznacz: Adobe ARM, APSDaemon, ArcSoft Connection Service, Nikon Message Center 2, QuickTime Task, Spotify Web Helper. - W karcie Scheduled Tasks zdeaktywuj: zadania Google, Opera, Samsunga. - W karcie Services: ACDaemon, Adobe ARM, WinDefend. By widzieć ten ostatni, należy mieć włączone pokazywanie wpisów Microsoftu.

Na zakończenie powiem, że to nowe "paskudztwo" to były dwa różne typy: 1. Kolejna infekcja szyfrująca "Crypt0L0cker", czyli mimo nazwy całkiem co innego, tzn. nowa wersja TorrentLocker: KLIK. Odszyfrowanie plików również awykonalne. 2. Adware nabyte poprzez próby poszukiwania dekoderów. Uruchomiłeś szkodnika, który był downloaderem ze śmieciami: 2015-05-13 07:22 - 2015-05-13 07:22 - 01525776 _____ (Dummy, Ltd.) C:\Users\Tomek\Downloads\Download decryptolocker exe_10924_i7728904_il345.exe Zrobiłeś format. Temat zamykam.

W przeglądarkach Google Chrome i Firefox jest adware Sale Charger. Akcje do wdrożenia: 1. Przez Panel sterowania odinstaluj zbędniki: Bing Bar, Spybot - Search & Destroy. Ten Spybot to przestarzały program. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\PROGRA~3\{F0231~1\1170~1.1\miti.dll => C:\ProgramData\{F02318E0-A0A1-C966-1127-B9E4C1A56A6A}\1.17.0.1\miti.dll [778752 2015-05-15] () Task: {94E8CA91-F0BA-4ACA-B2B9-C7E99B6CFA17} - System32\Tasks\Dregol miti => C:\ProgramData\{F02318E0-A0A1-C966-1127-B9E4C1A56A6A}\1.17.0.1\f Task: {273EF470-4FBB-4188-8116-7A07FBFD450E} - System32\Tasks\{83A83583-4ECC-4CA6-9DFE-41978A190351} => Firefox.exe http://ui.skype.com/ui/0/6.18.60.106/pl/abandoninstall?page=tsProgressBar Task: {8F3389A4-D481-4160-9A7F-A93D9E6DFA12} - System32\Tasks\{7FEE00B2-37E4-4217-A5AB-10716E14118C} => Firefox.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsPlugin GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-392818877-1939927122-1532879338-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ihokndmjeombjojnfkmapfnjeghjohim] - https://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-392818877-1939927122-1532879338-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-392818877-1939927122-1532879338-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage HKU\S-1-5-21-392818877-1939927122-1532879338-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm HKU\S-1-5-21-392818877-1939927122-1532879338-1001\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-392818877-1939927122-1532879338-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-392818877-1939927122-1532879338-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-392818877-1939927122-1532879338-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-392818877-1939927122-1532879338-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\ProgramData\{F02318E0-A0A1-C966-1127-B9E4C1A56A6A} C:\Users\Winiarska Janina\AppData\Local\{90FBD4E5-F418-471B-9BEC-9A08B2186E97} C:\Users\Winiarska Janina\AppData\Local\Chromium C:\windows\system32\Drivers\etc\hosts.*.backup Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Sale Charger Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Podsumuj czy są jeszcze jakieś problemy.

W raportach brak oznak, by problemy te produkowała infekcja adware, bądź inna. Przyczyna leży gdzie indziej. Sugestie: 1. Widzę Cię na forum pod IP sieci Toya, więc spodziewane są domyślnie inne DNS niż widoczne w raportach. Obecnie są ustawione niedomyślne serwery DNS z puli OpenDNS. Czy to celowa konfiguracja i próba rozwiązywania problemów z połączeniem? Tcpip\Parameters: [DhcpNameServer] 208.67.222.222 208.67.220.220 2. Sprawdź czy Avast Free Antivirus nie ma wpływu na te zachowania.