picasso

O ile problem nadal aktualny: Infekcja adware (wariant "JS"), co widać już wprost w poście (przeklejone "hyperlinki"). Dostarcz wymagane raporty: KLIK.

Tak, owszem widać adware DiscountExt w Firefox. Nie wiadomo skąd to się wzięło. Nie jestem w stanie się wypowiedzieć na temat www.zobaczto.tv, ale nie wykluczam tego jako źródła. Instalator Hola raczej nie powinien mieć związku, ale wspominasz Softonic (o ile uruchomiono wstrętny "Softonic Downloader"). Akcje do przeprowadzenia: 1. Powtórz te operacje w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie powinna być jeszcze jedna kopia rejestru C:\WINDOWS1\Repair, utworzona zaraz po instalacji Windowsa, nie ma ona żadnych danych na temat instalacji robionych w późniejszym czasie i jej przywrócenie za dużo wyzerowałoby, ale może przyda sę do ekstrakcji selektywnej danych. 1. Na razie zaprezentuj jak wygląda bieżący klucz Tcpip po akcji ComboFix w porównaniu do klucza utworzonego zaraz po instalacji Windows (o ile Repair istieje). Do Notatnika wklej: Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Tcpip /s Reg: reg load HKLM\TEMP C:\WINDOWS1\Repair\SYSTEM Reg: reg query HKLM\TEMP\ControlSet001\services\Tcpip /s Reg: reg unload HKLM\TEMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. 2. Potem, zamiast formatu, będzie można jeszcze spróbować brutalnej reinstalacji TCPIP: KLIK.

Omiga w ogóle nie wyczyszczona - działają aktywnie w tle usługi protekcyjne IHProtect Service + WindowsMangerProtect (prawdopodobna przyczyna zamulenia), a także widoczne różne przekierowania. Akcja: 1. Przez Dodaj/Usuń programy odinstaluj zbędniki i stare wersje: 50 FREE MP3s +1 Free Audiobook!, AVG Security Toolbar, Java™ 6 Update 22, McAfee Security Scan Plus, OpenOffice.org 3.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158864 2015-01-08] (XTab system) R2 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-20] (SysTool PasSame LIMITED) [File not signed] U2 CertPropSvc; No ImagePath U1 eabfiltr; No ImagePath S3 EverestDriver; \??\C:\DOCUME~1\Witaj\USTAWI~1\Temp\RarSFX0\kerneld.wnt [X] Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Witaj\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{0D775546-2889-402C-9370-006E3AAE4F42}.exe HKLM\...\Run: [WinampAgent] => "C:\Program Files\Winamp\winampa.exe" HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_16_0_0_305_Plugin.exe -update plugin HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} HKU\S-1-5-21-1645522239-1965331169-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR HKU\S-1-5-21-1645522239-1965331169-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1645522239-1965331169-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {7B7EE163-E2C3-4CCC-8907-962CFE572D9D} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {B6C63ACF-8B3C-4389-BE9B-40BC4DBA8DD1} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9160821AS_5MABAXMR&ts=1421756021&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll [2015-01-08] (Thinknice Co. Limited) Toolbar: HKU\S-1-5-21-1645522239-1965331169-682003330-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421755969&from=cor&uid=ST9160821AS_5MABAXMR" CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\ChromeExt\18.1.0.443\avg.crx [2014-05-05] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\18.3.0.885 FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Documents and Settings\Witaj\Dane aplikacji\Mozilla\Firefox\Profiles\jp58wuxu.default\extensions\fftoolbar2014@etech.com C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Witaj\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Mozilla Firefox\browser\searchplugins\avg-secure-search.xml C:\Program Files\XTab C:\Program Files\Common Files\AVG Secure Search C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj AVG Security Toolbar (o ile nadal będzie widoczny po głównej deinstalacji) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Temat przenoszę do działu Windows, to nie jest problem infekcji. 1. Ten błąd "Usługi buforowania czcionek platformy Windows Presentation Foundation" jakoby był rozwiązywany wcześniej: KLIK. Skoro błąd nadal występuje, być może więc problem nie leży wcale w FontCache*.dat. Czy w tym katalogu jest więcej plików FontCache*.dat niż jeden? 2. Diagnostyka BSOD w punkcie 5: KLIK.

Pokaż zawartość Kosza. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Folder: C:\$Recycle.Bin Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Fix FRST w ogóle nie wykonany i autorun.inf z obu partycji nie zostały skasowane. Otwórz plik Fixlog i porównaj z moim postem. Przy przeklejaniu skleiły się wszystkie linie. Skrypt w Notatniku musi mieć identyczne przejścia do nowej linii jak w moim poście. Powtarzaj zadanie. BSOD prawdopodobnie był związany z próbą usunięcia athgina.dll Atherosa. Zaś odnośniki appmgmts.dll w stanie "not found" to normalne na edycji XP Home: KLIK. Nie usuwaj tych wpisów, usługę AppMgmt tylko wyłącz i tyle.

Fałszywy alarm. AVG będzie wykrywał w FRST "nieznane zagrożenie", Avast nawet nie pozwala go pobrać, F-Secure blokuje uruchomienie, i tak dalej. Jest to nieumiejętność antywirusów, by ocenić poprawnie aplikację. Te problem będzie występował, dopóki antywirusy nie zmienią swoich detekcji lub (w co wątpię że nastąpi) FRST zostanie podpisany cyfrowo. W nowych raportach nie widać już "Smart Advisora" na dysku, tylko wpis wyłączony w msconfig. Kończymy: 1. Start > Uruchom > regedit i skasuj ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor 2. Usuń używane narzędzia za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmień dane logowania związane z Tibia.

Ta instalacja AllPlayer to nic złego, Napisy24 są jej częścią. Napisy24 są już wyłączone, usunę je z listy msconfig i dysku. Natomiast w systemie są widoczne inne problemy nie związane z AllPlayer wcale, tzn. szczątki po infekcji adware z przeszłości (przekierowania sweet-page.com i mystartsearch.com, zmodyfikowane skróty LNK przeglądarek, fałszywy WorldofTanks). Pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 ShortcutWithArgument: C:\Documents and Settings\Magda\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} HKU\S-1-5-21-1177238915-861567501-682003330-1003\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={719FA3CE-D760-452D-A8C4-E62806492B4D}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415avi&pr=fr&d=2015-05-04 10:06:32&v=4.1.0.411&pid=wtu&sg=&sap=hp HKU\S-1-5-21-1177238915-861567501-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1428182986&from=cor&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={719FA3CE-D760-452D-A8C4-E62806492B4D}&mid=Unknown&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0415avi&pr=fr&d=2015-05-04 10:06:32&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKU\S-1-5-21-1177238915-861567501-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1417288201&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1417288251&from=smt&uid=WDCXWD2500AAJS-07M0A0_WD-WMAV2C43209332093 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird StandardProfile\AuthorizedApplications: [C:\Program Files\KONAMI\Pro Evolution Soccer 2011\pes2011.exe] => Enabled:Pro Evolution Soccer 2011 StandardProfile\GloballyOpenPorts: [1886:TCP] => Enabled:Genieo U3 Avgfwfd; system32\DRIVERS\avgfwdx.sys [X] S3 FscBapi; system32\DRIVERS\FscBapi.sys [X] S3 FscCmos; system32\DRIVERS\FscCmos.sys [X] S3 FscCpuid; system32\DRIVERS\FscCpuid.sys [X] S3 FscEfDmi; system32\DRIVERS\FscEfDmi.sys [X] U3 a3mvpgbj; No ImagePath C:\Documents and Settings\All Users\Dane aplikacji\ALLPlayerRemote C:\Documents and Settings\All Users\Dane aplikacji\AVG Security Toolbar C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Magda\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\Magda\Dane aplikacji\Opera Software C:\Documents and Settings\Magda\SendTo\Android (ALLPlayer Pilot).lnk C:\Documents and Settings\Magda\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Magda\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\AVG Web TuneUp C:\Program Files\EnterDigital C:\Program Files\NapiProjekt C:\Program Files\Napisy24 C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLPlayer WiFi Remote" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome jest zainstalowane rozszerzenie ZenMate Security & Privacy VPN. Wersja darmowa to wariant adware: KLIK. Sugeruję deinstalację. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skoro FRST się wiesza, powtórz ten Fix z poziomu Trybu awaryjnego Windows. Jeśli pendrive nie będzie widoczny w awaryjnym, doczyścimy go potem w inny sposób.

Znalezisko MBAM to odpadek po jakiejś starszej akcji z adware. W raportach ogólnie nic czynnego nie widać. Tylko kosmetyczne akcje pod kątem wpisów szczątkowych / pustych do przeprowadzenia: 1. Napraw nuszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: StartMenuInternet: (HKLM) OperaStable - D:\Program Files\Launcher.exe http://isearch.omiga-plus.com/?type=sc&ts=1417869026&from=ild&uid=WDCXWD1002FAEX-00Z3A0_WD-WCATR683983139831 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-2442405527-2749528334-1709621355-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File S1 nltdi; \??\C:\Program Files\NetLimiter 3\nltdi.sys [X] C:\ProgramData\.windows.sys C:\ProgramData\wmc.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DriverMax_RESTART" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

Brakuje głównego skanu FRST.txt. Dołącz ten plik.

Raporty są obowiązkowe: KLIK. Bez nich nie jest możliwa pomoc.

Akcja pomyślnie wykonana. Na zakończenie: 1. Zastosuj DelFix oraz zaktualizuj Javę: KLIK. 2. Poczytaj czego unikać: KLIK.

Temat przenoszę do działu Windows. To nie jest także problem infekcji. Żadnych oznak tego typu. Ponadto, w logach nie ma żadnych konkretów umożliwiających zdiagnozowanie problemu. Czy po tych manipulacjach z pamięcią wirtualną nastąpiła ogólna poprawa w działaniu (a nie tylko ustąpienie wymienianego błędu)? Drugie pytanie: Twoja wypowiedź sugeruje, że Windows był tweakowany, to może przesadziłeś z "konfiguracjami" - co jeszcze było wykonywane? PS. Uruchom Autoruns i w karcie Logon usuń te puste wpisy: HKLM-x32\...\Run: [Andy] => C:\Program Files\Andy\HandyAndy.exe HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X]

Tak jak już sugerowałam, wina leżała w tym dwóch sterownikach usuwanych przez AdwCleaner. W świeżych raportach nic czynnego, do wdrożenia tylko kosmetyka: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {6C34154C-2ACC-4D1F-BF89-97C2B7DA3827} - System32\Tasks\{55C68180-4C9B-4DCC-80B6-D49FC34C3B02} => Iexplore.exe http://g.msn.com/1ewplpl70/SettingsPrivacy Task: {74E5A720-3161-43FE-8C13-46FED2A8BC92} - System32\Tasks\{DC690892-BCE5-4C1F-9F75-3AA30C0C2A34} => pcalua.exe -a C:\Users\Konrad\Downloads\INPA\Driver_D_CAN_USB\OBDSetup.exe -d C:\Users\Konrad\Downloads\INPA\Driver_D_CAN_USB Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2656408151-2057117993-761135209-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-2656408151-2057117993-761135209-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKU\S-1-5-21-2656408151-2057117993-761135209-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 SearchScopes: HKLM -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-2656408151-2057117993-761135209-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi już potrzebny.

Jaki powód podwójnego uruchomienia? Fix jest jednorazowy i nie wykona ponownie tego samego. W Fixlog od góry do dołu "not found", bo już to zostało usunięte za pierwszm razem. Pomijając to, ten śmierdziel Tibia usunięty. Ale: 1. W raporcie nie ma śladów tego czyszczenia i nadal są puste wpisy: Powtórz zadanie. 2. W międzyczasie nowe niekorzystne zmiany. Zainstalowałeś Alcohol 120%, który jest sponsorowany przez niepożądany progam Smart File Advisor. Nie wiem jak to jest w wersji Alcohol 120%, ale w Alcohol 52% ten "Advisor" jest trwale zintegrowany i ma zszarzone pole wyboru przy instalacji Alcohola (!), więc teoretycznie nie da się tego uniknąć. Jest to jednak możliwe: należy podczas instalacji Alcohola odciąć połączenie sieciowe, co uniemożliwi instalację tego "Advisora". Czyli: odinstaluj Smart File Advisor (jeśli to instalacja sprzężona, usunie to też Alcohol), a jeśli Alcohol niezbędny ponów jego instalację wg podanych kroków z brakiem sieci. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition (ale nie Shortcut).

Tym razem akcja wykonana. Zapomniałeś zrobić nowy skan FRST. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DoNotAskAgain /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\OldSearch" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W skrypcie i tak pobierałam informacje o tym co leży w root dysków. Pliki autorun.inf są na obu partycjach, C i D, na dodatek na C jest powiązany folder "Recycled". Otwórz Notatnik i wklej w nim: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k Toolbar: HKU\S-1-5-21-57989841-329068152-725345543-1004 -> No Name - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No File C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\Google C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.0 C:\Documents and Settings\Edytka\Dane aplikacji\OpenOffice.org3 C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Adobe C:\Program Files\Google C:\Program Files\Mozilla Firefox C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\found.000 RemoveDirectory: C:\Recycled CMD: attrib -r -s -h C:\autorun.inf CMD: attrib -r -s -h D:\autorun.inf CMD: del /q C:\autorun.inf CMD: del /q D:\autorun.inf Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. I wypowiedź się jakie nadal są problemy w systemie.

Zasady działu i instrukcje tworzenia raportów nie do końca przeczytane. Brak plików FRST Shortcut oraz GMER. Brak pliku Shortcut = nie ma pełnych informacji o zainstalowanych programach, ani o hijackerach skrótów. W tej sytuacji prawdopodobnie będzie więcej etapów. Adware nabyłeś uruchamiając ten lewy plik, to "downloader" ze śmieciami a nie zasadniczy plik instalacyjny: 2015-05-05 10:47 - 2015-05-05 10:47 - 00912912 _____ () C:\Users\sylwester\Downloads\The Witcher 3 Wild Hunt Key Ge Downloader__3687_i1509675887_il225070.exe 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware/PUP: GamesDesktop 008.109, Support PL 1.1, 百度卫士4.0, 百度杀毒3.0. Te dwa chińskie krzaki to Baidu Antivirus i jego Guard. - Stare wersje: Java™ 6 Update 22, Java 8 Update 31, OpenOffice.org 3.3. ----> Ze względu na brak pliku Shortcut nie wiadomo czy jest deinstalator Tencent, a musi być on użyty w pierwszej kolejności, by w naturalny sposób odładować inwazyjne sterowniki. Wejdź do katalogu C:\Program Files (x86)\Tencent i sprawdź czy jest plik deinstalacyjny. Jeśli tak, z prawokliku "Uruchom jako Administrator". Nie próbuj usuwać folderu ręcznie, to nie jest poprawna deinstalacja i zostawi śmietnisko w rejestrze. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 BrsHelper; C:\Program Files (x86)\YTDownloader\BrowserHelperSrv.exe [112560 2015-05-04] () S3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41624 2015-05-03] () R2 wimuhube; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\jnsvE064.tmp [282624 2015-05-05] () [File not signed] S1 BDEnhanceBoost; system32\drivers\BDEnhanceBoost.sys [X] S1 BDFileDefend; system32\DRIVERS\BDFileDefend.sys [X] S1 BdSandBox; system32\DRIVERS\BdSandBox.sys [X] S2 be0fb33b; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\Supporter\Supporter.dll",serv S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] S2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe /service [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] R2 zozubuly; C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586\nsv96F0.tmpfs [X] Task: {2FCAFB02-9473-4DD3-8A06-04321DE29513} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-7 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-7.exe Task: {30619AD9-B1B8-4ECF-A6FE-C3835FFF5822} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-6 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-6.exe Task: {6AC99ECF-8C64-4DFF-BC7C-42DA8B59FAFA} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {75A384B9-BB10-4A37-9D4F-3F95281DF1DB} - System32\Tasks\89d90637-1f52-4aec-bef1-c9717c432fe7-11 => C:\Program Files (x86)\Object Browser\89d90637-1f52-4aec-bef1-c9717c432fe7-11.exe Task: {C2888F08-D8ED-4D63-852A-80FDCBFEF8A0} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {C7A1E98C-C370-414A-9409-F5D394DD6882} - System32\Tasks\ba6afebe-441e-49b1-b747-d99be83e7b16-11 => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-11.exe Task: {CBEF023B-9039-48F9-BFAF-8A93C5C8030C} - System32\Tasks\{763A0328-264A-486E-8B59-A950A9949513} => pcalua.exe -a C:\Users\sylwester\Downloads\LeagueofLegends_EUW_Installer_9_15_2014.exe -d C:\Windows\SysWOW64 -c /groupsextract:100;101;102; /out:"C:\Users\sylwester\AppData\Roaming\Riot Games\League of Legends\prerequisites" /callbackid:2532 Task: C:\Windows\Tasks\temp_ba6afebe-441e-49b1-b747-d99be83e7b16-6.job => C:\Program Files (x86)\iWebar\ba6afebe-441e-49b1-b747-d99be83e7b16-6.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [mbot_pl_194] => [X] HKLM-x32\...\Run: [gmsd_pl_109] => "C:\Program Files (x86)\gmsd_pl_109\gmsd_pl_109.exe" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421788658&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hao123.com/?tn=91932766_hao_pg HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653 HKU\S-1-5-21-2770005542-1391010283-3734432884-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421788717&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&q={searchTerms} SearchScopes: HKU\S-1-5-21-2770005542-1391010283-3734432884-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD10S21X-24R1BT0-SSHD-8GB_WD-WX91AB3H5653H5653&ts=1421788733&type=default&q={searchTerms} BHO-x32: Solution Real 1.0.0.7 -> {1bb456da-878f-44a5-b013-4bfe0ae02fce} -> C:\Program Files (x86)\Solution Real\SolutionRealBHO.dll No File BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File FF Plugin-x32: @baidu.com/BaidusdDetectNPPlugin -> C:\Program Files (x86)\Baidu\BaiduSd\3.0.0.4605\explugin\npBaiduSDDetectPlug.dll [2014-11-06] (百度在线网络技术（北京）有限公司) FF Plugin-x32: @qq.com/QQPCMgr -> C:\Program Files (x86)\Tencent\QQPCMgr\10.8.16208.227\npQMExtensionsMozilla.dll [2015-05-05] (Tencent Technology (Shenzhen) Company Limited) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll No File FF SearchPlugin: C:\Users\sylwester\AppData\Roaming\Mozilla\Firefox\Profiles\401j7pod.default\searchplugins\omiga-plus.xml [2015-01-31] FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\sylwester\AppData\Roaming\Mozilla\Firefox\Profiles\401j7pod.default\extensions\fftoolbar2014@etech.com C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\gmsd_pl_109 C:\Program Files (x86)\iWebar C:\Program Files (x86)\Object Browser C:\Program Files (x86)\predm C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\Supporter C:\Program Files (x86)\YTDownloader C:\Program Files\Common Files\ShopperPro C:\ProgramData\{4c69cab7-2cf1-b47e-4c69-9cab72cf2adc} C:\ProgramData\15987269045763179288 C:\ProgramData\KingSoft C:\ProgramData\ShopperPro C:\Users\sylwester\AppData\Local\Temp-log.txt C:\Users\sylwester\AppData\Local\BrowserHelper C:\Users\sylwester\AppData\Local\globalUpdate C:\Users\sylwester\AppData\Local\gmsd_pl_109 C:\Users\sylwester\AppData\Roaming\1F97B14F-1430815727-E411-B2A0-F0761C0D1586 C:\Users\Public\Documents\ShopperPro C:\Users\sylwester\Downloads\The Witcher 3 Wild Hunt Key Ge Downloader__3687_i1509675887_il225070.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\sylwester\AppData\Local CMD: dir /a C:\Users\sylwester\AppData\LocalLow CMD: dir /a C:\Users\sylwester\AppData\Roaming Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Solution Real Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę: CTRL+SHIFT+E i z listy rozszerzeń usuń przy udziale iksa adware iWebar. 6. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy raporty. Dołącz też plik fixlog.txt.

Cóż, nie ma kopii zapasowej rejestru ERUNT, została usunięta. Czyli nie posiadasz żadnej kopii zapasowej sprzed uruchomienia ComboFix. Sprawdź czy sieć zacznie działać, jeśli ustawisz na sztywno serwery DNS Google 8.8.8.8 (Podstawowy) + 8.8.4.4 (Zapasowy) i zresetujesz komputer: KLIK.

To co powiedziałam post wyżej nadal aktualne. Fixlog wprawdzie powstał, ale on przedstawia opisywany defekt, czyli zawieszenie na CreateRestorePoint:. Nic nie wykonało się. Tak więc wytnij tę komendę i powtórz zadanie.

Nie ma folderu C:\WINDOWS1\ERDNT\Hiv-backup. Może jest tam podfolder sUBS, o ile oczywiście nie uziemiono tej kopii ComboFix. Podaj spis zawartości folderu: Do Notatnika wklej: Folder: C:\WINDOWS1\ERDNT Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt

To nie jest normalne. Zakończ pracę FRST, wytnij ze skryptu linię CreateRestorePoint: i ponów próbę.

- Tu jeszcze niezbyt czysty Firefox oraz na dysku szczątkowe Google Chrome w wersji "dev". W całości należało usuwać wszystko od Google, a nie przetwarzać pojedyncze rozszerzenia z martwego profilu. Nawiasem mówiąc, usuwanie rozszerzeń adware skryptem FRST nie usuwa ich z preferencji i pozostają widoczne na liście = jak wyłożone w tutorialu, zalecana metoda to deinstalacja w opcjach a nie skrypt FRST. To samo dotyczy Opery. - Po ukończeniu czyszczenia coś należy zrobić z archaizmen ESET z 2009 (!). A ten "MBAM Portable" (nie wiem skąd pobrany, ale to nie jest wersja producenta) to nie portable - na dysku porozrzucane różne elementy (usuwam skryptem). 1. Odinstaluj te niezdrowe truposze sprzed kilkunastu lat: Nimo Codecs Pack v5.0, SLD CODEC PACK 1.5. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Po akcji trzeba będzie przeinstalować Adblock Plus. menu Historia > Wyczyść historię przeglądania 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: PLAY ONLINE. RunOuc C:\Program Files\Google C:\ProgramData\Malwarebytes' Anti-Malware (portable) C:\ProgramData\Malwarebytes C:\Users\Monia\AppData\Local\Google C:\Users\Monia\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Monia\AppData\Roaming\regsvr32.exe_log.txt C:\Windows\system32\Drivers\MBAMSwissArmy.sys C:\Windows\system32\Drivers\mbamchameleon.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po restarcie zaprezentuj fixlog.txt.