picasso

Teraz ustawienia DNS są w porządku: Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Skoro nadal występuje efekt, to wyczyść wszystkie cache (bufor DNS i cache przeglądarek) - otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, by nie zablokował FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt.

Czy mam to odczytywać jako wykrycie i naprawę niepożądanych ustawień, czy też wręcz przeciwnie? Czy nadal są problemy? On został odinstalowany w pierwszym podejściu, bo w drugim logu FRST go nie było, pojawił się ponownie w trzecim. Na koniec zastosuj DelFix oraz zaktualizuj poniższe programy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.305 - Adobe Systems Incorporated) ----> wtyczka dla IE Java 7 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle)

Mowa tu o myszy, ale czy klawiatura jest też typu USB? No cóż, w sytuacji, gdy się zablokowano permanentnym startem do Trybu awaryjnego należy zedytować plik rozruchowy BOOT.INI systemu XP, by usunąć parametr startu do awaryjnego. Instrukcje tutaj: KLIK. Skorzystaj z płyty Paragon Rescue Kit Free Edition.

No cóż, nowe logi FRST potrzebne (wszystkie trzy). Poza tym, dontpanic proszę bądź bardziej uważny, bo te instalacje adware wślizgują się takimi metodami: KLIK. W większości przypadków w "downloaderach" są opcje odmowy. Oczywiście są też wersje tak skonstruowane, że nie ma takiej możliwości.

W tej wyszukiwarce wpisuje się dane z planszy z okupem, takie jak numer konta czy telefon pokazany na komunikacie. W Twoim przypadku są to te adresy e-mail widziane na komunikacie. - Są specjalizowane programy dedykowane prewencji przed infekcjami szyfrującymi: KLIK. - Poza tym, bardzo ważne jest robić izolowane kopie cennych danych na innych nośnikach. W przypadku nieznanej infekcji szyfrującej, która nie zostanie zatrzymana, przynajmniej nie będzie utraty danych. Zadania wykonane i infekcja nie jest już czynna. Kolejna porcja działań: 1. Tapeta nadal nie jest skorygowana i w rejestrze jest zapis pliku tapety malware. Miałeś ręcznie ustawić w opcjach nowy obraz, bo to się samo nie zrobi. HKU\S-1-5-21-4079469416-385390291-1880624462-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Marcel\AppData\Roaming\A3C85375A3C85375.bmp 2. Usunięcie zaszyfrowanych kopii z czeluści systemowych. Te zaszyfrowane wersje *.xtbl oraz *.ytbl które są dla Ciebie ważne skopiuj z dysków C i E na jakiś zewnętrzny nośnik. Szanse na odszyfrowanie są raczej zerowe, ale na wszelki wypadek zrób to. Po tej akcji otwórz Notatnik i wklej w nim: RemoveDirectory: C:\found.000 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Users\Marcel\Doctor Web CMD: attrib -r -h -s C:\*.xtbl /s CMD: attrib -r -h -s C:\*.ytbl /s CMD: attrib -r -h -s E:\*.xtbl /s CMD: attrib -r -h -s E:\*.ytbl /s CMD: del /q /s C:\*.xtbl CMD: del /q /s C:\*.ytbl CMD: del /q /s E:\*.xtbl CMD: del /q /s E:\*.ytbl Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystko pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\NAS Tower\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\NAS Tower\Desktop\Stare dane programu Firefox CMD: del /q C:\ProgramData\FavIcon.ico CMD: del /q "C:\Users\NAS Tower\Downloads\06jvf4pi.exe" Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{fcdf7cac} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Logi FRST pochodzą z limitowanego konta Michal bez dostępu, stąd w logu wiele przekłamań (brak informacji o procesach, zablokowane usługi i pobór innych danych). Logi powinny być dostarczone z konta administracyjnego Root. Temat założyłeś w dziale diagnostyki infekcji - czy jest jakiś szczególny powód do tego działania? Przenoszę do działu Sieci. Pomimo, że logi są z limitowanego konta i pewne informacje są zablokowane, tu nic nie wskazuje na infekcję i wątpię w ten scenariusz. W Dzienniku zdarzeń jest owszem błąd: System errors: ============= Error: (04/14/2015 09:21:09 PM) (Source: Schannel) (EventID: 4120) (User: ZARZĄDZANIE NT) Description: Wygenerowano alert krytyczny, który został wysłany do zdalnego punktu końcowego. W efekcie połączenie może zostać zakończone. Kod błędu krytycznego zdefiniowany przez protokół TLS to 10. Kod stanu błędu SChannel w systemie Windows to 10. Jeśli problem z bezpiecznymi połączeniami występuje nie tylko w Google Chrome (przeklejony komunikat w pierwszym poście pochodzi z Chrome), ale i w Firefox czy IE - podejrzany jest świeżo doinstalowany COMODO Firewall, który ingeruje w obszar połączeń i certyfikatów. Na próbę odinstaluj całkowicie (oczywiście z poziomu konta administracyjnego Root) i podaj czy jest poprawa.

1. Przez Panel sterowania odinstaluj adware, stare wersje i zbędniki: Adobe Flash Player 16 ActiveX, Internet Speed Checker, istartsurf uninstall, Skype Toolbars. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-03-27] (globalUpdate) [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [493712 2015-03-27] (SysTool PasSame LIMITED) [File not signed] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-360924908-518354685-2704030000-1000\...\Run: [skype] => "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} HKU\S-1-5-21-360924908-518354685-2704030000-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT HKU\S-1-5-21-360924908-518354685-2704030000-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=pcs&utm_campaign=install_ie&utm_content=ds&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT&ts=1427447819&type=default&q={searchTerms} BHO: Norton Identity Protection -> {AB4C7833-A6EC-433f-B9FE-6B14B1A2F836} -> C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-03-16] (Thinknice Co. Limited) Toolbar: HKLM - Norton Identity Safe Toolbar - {A13C2648-91D4-4bf3-BC6D-0079707C4389} - C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File Toolbar: HKU\S-1-5-21-360924908-518354685-2704030000-1000 -> Norton Identity Safe Toolbar - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - C:\Program Files (x86)\Norton Identity Safe\Engine64\2014.7.0.43\coIEPlg.dll No File DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1427447776&from=pcs&uid=TOSHIBAXMK3252GSX_48TZT0NRTXX48TZT0NRT FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Dana\AppData\Roaming\Mozilla\Firefox\Profiles\iw5dhuwu.default-1395077970526\extensions\searchengine@gmail.com FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\Dana\AppData\Roaming\Mozilla\Firefox\Profiles\iw5dhuwu.default-1395077970526\extensions\istart_ffnt@gmail.com Task: {0ACD2C2B-CFCE-4955-9019-2D551B273218} - System32\Tasks\{7F49692B-F382-42D1-93D1-7F3A6E6A1A00} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {36E79571-790F-4DCD-BEBC-03F4678DE48F} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: {614C2E0A-6F58-4C35-B5D1-78791B6860BA} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {65361B65-E06C-4870-8635-DEBCFF80A580} - System32\Tasks\{F1F8CA6B-BDF6-4ADE-B8A4-D802D0D69C85} => pcalua.exe -a C:\Users\Dana\Downloads\sp37811.exe -d C:\Users\Dana\Downloads Task: {68189F4D-EC64-414A-BCB3-3B80669244CE} - System32\Tasks\{76ED6E2C-85BF-4787-8534-D6B392F60B40} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {6FC76FD5-2CE0-4F82-984F-DD6219570C47} - System32\Tasks\{0D259B92-6D36-478C-8B28-74EAE4CCC2CD} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {708C7CBB-AFF5-4EB3-9EC6-C7B44F942CBC} - System32\Tasks\{3B3C6651-0B42-4188-B19C-AE087567C566} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {85DDC2BC-57B9-4044-A0D5-EB85FC3B5796} - System32\Tasks\{C11EDAEA-23C6-4D05-8BE4-7F67454BDDA4} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {870608BB-780D-4C7D-9D30-38ED3FCB3611} - System32\Tasks\{0861B560-92FA-4F7C-AA26-B1B181EE684E} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A9426EC2-FB80-4BDF-A38B-F76BFC43E66E} - System32\Tasks\{F79D4A52-A6E6-45B3-A6DC-97D679F5CAD2} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.217&LastError=404 Task: {BA260342-101F-4CD2-A403-34330EA78E70} - System32\Tasks\{C8179842-A8BD-47E0-BF65-23455A025343} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {BD5504FC-0A8E-4AB7-AD2A-D6802181481F} - System32\Tasks\{0151A142-AF65-4D01-BF32-01AC1541C7FD} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar Task: {D0B3D2A8-5E45-42F2-9A85-726143DC5099} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {E8BC01A9-A259-434F-AD2B-B5ECA8F40272} - System32\Tasks\{ADA115D4-3DB2-4194-AB3B-997FAD2CE3DD} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:offered-installed;madedefault Task: {F52B8B44-F692-4FFD-BB31-343470303CFE} - System32\Tasks\{352675B2-0931-423C-851F-F5D4B176660F} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;alreadyoffered Task: {F94BFA3C-C5BD-4D6A-8570-7CAE15C00615} - System32\Tasks\{EC346AFA-455C-44BD-B66F-AED5516B4C5A} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?page=tsProgressBar C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Dana\AppData\Local\globalUpdate C:\Users\Dana\AppData\Roaming\istartsurf C:\Users\Dana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton C:\Users\Dana\PULPIT\Rózności\Norton Internet Security.lnk C:\Users\Public\Downloads\Norton C:\Windows\System32\Tasks\Norton Identity Safe CMD: for /d %f in (C:\Users\Dana\AppData\Local\{*}) do rd /s /q "%f" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Adware nabyłeś pobierając cracki do gier. To wszystko co poniżej wyliczone to nie są poprawne instalatory tylko downloadery ładujące adware - pomijając to, że w ogóle te pliki nie powinny być uruchamiane (to szkodniki i jest nikłe prawdopodobieństwo pobrania poprawnej docelowej kopii), to przy ich uruchamianiu raczej były dialogi na których można było odznaczyć instalację adware. To nie zostało zrobione, w konsekwencji w systemie katastrofa, te downloadery ładują mnóstwo inwazyjnych obiektów. ==================== One Month Created Files and Folders ======== 2015-04-02 17:42 - 2015-04-02 17:42 - 00689232 _____ (Navigation Co., Ltd.) C:\Users\eafae\Downloads\Bnd_200_262_201533_1844.exe 2015-04-02 17:35 - 2015-04-02 17:35 - 08410016 _____ (Beijing Fantasy Game Network Technology Co., Ltd.) C:\Users\eafae\Downloads\somont.exe 2015-04-02 17:33 - 2015-04-02 17:33 - 00670816 _____ (HTabp.com) C:\Users\eafae\Downloads\ex.exe 2015-04-02 17:28 - 2015-04-02 17:28 - 00463560 _____ () C:\Users\eafae\Downloads\tasktr__7214_il109297.exe 2015-04-01 20:57 - 2015-04-01 20:58 - 01576464 _____ (Dummy, Ltd.) C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics]_10924_i48843529_il345.exe 2015-04-01 20:51 - 2015-04-01 20:51 - 00460800 _____ () C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics].exe 2015-03-28 15:44 - 2015-03-28 15:44 - 01484304 _____ (Dummy, Ltd.) C:\Users\eafae\Downloads\Fallout 3 PC full game DLC nosTEAM_10924_i47627008_il345.exe Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware: ContentMirror, CuoupEExteNosiuon, Faster Chrome Pro, MyPC Backup, NNewSaver, RandoomPPricce, TheAdBlock, youtubeadblocker. Od razu też starą zbędną wersję (to jest wersja dla Firefox i innych produktów Mozilla): Adobe Flash Player 16 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-4040340981-3488949422-2698820681-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM -> DefaultScope {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=ds&ts=1427988833&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM-x32 -> DefaultScope {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=dspp&ts=1427988844&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&q={searchTerms} SearchScopes: HKLM-x32 -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> DefaultScope {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=adc&utm_campaign=install_ie&utm_content=ds&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179&ts=1427988860&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1001 -> {E921F400-D383-4B1B-9DE6-FCFCACFC1173} URL = SearchScopes: HKU\S-1-5-21-4040340981-3488949422-2698820681-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.luckysearches.com/?type=sc&ts=1427988803&from=adc&uid=SAMSUNGXHD642JJ_S1AFJ90SC00179 BHO: CuoupEExteNosiuon -> {5c772b28-da63-44d0-b7cc-573ad8eda1b7} -> C:\Program Files (x86)\CuoupEExteNosiuon\lqBsXcvnwpcQTE.x64.dll [2015-04-09] () BHO: youtubeadblocker -> {9957d186-7af3-4b08-8c82-6e0c8d0bdcf8} -> C:\Program Files (x86)\youtubeadblocker\WaXJH7oEyTFcZB.x64.dll [2015-04-01] () BHO: NNewSaver -> {9a26cc8c-a13b-4be9-a36a-08bf087fb8fa} -> C:\Program Files (x86)\NNewSaver\4LrzUq6ZnIdi5F.x64.dll [2015-04-09] () BHO: SAlePluiss -> {e99ade3a-fb0b-42bd-9cde-1292e99c2e7d} -> C:\Program Files (x86)\SAlePluiss\HD9xIdQ6jgaAV5.x64.dll [2015-04-01] () BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-03-16] (Thinknice Co. Limited) BHO-x32: CuoupEExteNosiuon -> {5c772b28-da63-44d0-b7cc-573ad8eda1b7} -> C:\Program Files (x86)\CuoupEExteNosiuon\lqBsXcvnwpcQTE.dll [2015-04-09] () BHO-x32: youtubeadblocker -> {9957d186-7af3-4b08-8c82-6e0c8d0bdcf8} -> C:\Program Files (x86)\youtubeadblocker\WaXJH7oEyTFcZB.dll [2015-04-01] () BHO-x32: NNewSaver -> {9a26cc8c-a13b-4be9-a36a-08bf087fb8fa} -> C:\Program Files (x86)\NNewSaver\4LrzUq6ZnIdi5F.dll [2015-04-09] () BHO-x32: SAlePluiss -> {e99ade3a-fb0b-42bd-9cde-1292e99c2e7d} -> C:\Program Files (x86)\SAlePluiss\HD9xIdQ6jgaAV5.dll [2015-04-01] () ShellIconOverlayIdentifiers: [ExplorerEx] -> {E056AFDD-03E9-4D73-8D33-8FCCBCA73438} => C:\Users\eafae\AppData\Roaming\Macwebtoise\explorerEx64.dll () Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MyPC Backup.lnk Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tasktr__7214_il109297.lnk Startup: C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Test Drive Unlimited Gold [R.G Mechanics].lnk HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). Task: {FC273C64-5B20-4D74-9DAF-2836C7690E46} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-25] (MyPC Backup) R2 82379c5f; c:\Program Files (x86)\SoftwareAssist\SoftwareAssist.dll [1625088 2015-04-02] () [File not signed] R2 BackupStack; C:\Program Files (x86)\MyPC Backup\BackupStack.exe [53832 2014-11-25] (Just Develop It) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158816 2015-03-16] (XTab system) R2 Sed; C:\Users\eafae\AppData\Roaming\ntsvc\ntsvc.exe [944184 2015-04-10] (Navigation Co., Ltd.) C:\Program Files\Bitdefender C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\CuoupEExteNosiuon C:\Program Files (x86)\Faster Chrome Pro C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\NNewSaver C:\Program Files (x86)\Opera C:\Program Files (x86)\RandoomPPricce C:\Program Files (x86)\SAlePluiss c:\Program Files (x86)\SoftwareAssist C:\Program Files (x86)\SystemMuscle C:\Program Files (x86)\UPCleaner C:\Program Files (x86)\XTab C:\Program Files (x86)\youtubeadblocker C:\ProgramData\1427396291.bdinstall.bin C:\ProgramData\{539d1ce0-9635-66e0-539d-d1ce09637382} C:\ProgramData\{a1ea5d08-0bb3-7f0c-a1ea-a5d080bb7420} C:\ProgramData\{bd984814-05cc-fe2a-bd98-8481405c2050} C:\ProgramData\{c5210046-4efe-624a-c521-100464ef0119} C:\ProgramData\BDLogging C:\ProgramData\eopfohhlindknnblhjplpohnmlecckii C:\ProgramData\IHProtectUpDate C:\ProgramData\okclledcblofbigbcaahjbfpegbgbfda C:\ProgramData\TheAdBlock C:\ProgramData\WindowsMangerProtect C:\Users\eafae\AppData\Local\Temp-log.txt C:\Users\eafae\AppData\Local\macasoft C:\Users\eafae\AppData\Local\Opera Software C:\Users\eafae\AppData\Roaming\EZDownloader C:\Users\eafae\AppData\Roaming\Macwebtoise C:\Users\eafae\AppData\Roaming\ntsvc C:\Users\eafae\AppData\Roaming\Opera Software C:\Users\eafae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup C:\Users\eafae\AppData\Roaming\QuickScan C:\Users\eafae\Desktop\MiniGet Smart Downloader.lnk C:\Users\eafae\Desktop\MyPC Backup.lnk C:\Users\eafae\Desktop\Sync Folder.lnk C:\Users\eafae\Downloads\Bnd_200_262_201533_1844.exe C:\Users\eafae\Downloads\ex.exe C:\Users\eafae\Downloads\Fallout 3 PC full game DLC nosTEAM_10924_i47627008_il345.exe C:\Users\eafae\Downloads\kurulum.exe C:\Users\eafae\Downloads\somont.exe C:\Users\eafae\Downloads\tasktr__7214_il109297.exe C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics].exe C:\Users\eafae\Downloads\Test Drive Unlimited Gold [R.G Mechanics]_10924_i48843529_il345.exe C:\Users\eafae\Downloads\Test-Drive-Unlimited---crack.rar C:\Users\eafae\Downloads\test_drive_unlimited_pl_patch_vistapl.zip C:\Users\eafae\Downloads\test_drive_u.rar C:\Users\eafae\Downloads\TEST.DRIVE.UNLIMITED.V1.66A.ALL.HATRED.NOCD.ZIP C:\Windows\system32\bdsandboxuh.dll C:\Windows\system32\bdsandboxuiskin.dll C:\Windows\system32\Drivers\avchv.sys C:\Windows\system32\Drivers\bdelam.sys C:\Windows\system32\Drivers\bdsandbox.sys C:\Windows\system32\Drivers\bdvedisk.sys C:\Windows\system32\Drivers\Msft_Kernel_avchv_01009.Wdf C:\Windows\SysWOW64\bdsandboxuiskin32.dll Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Worms Armageddon 3.7.0.0 [WinXP-7-8] [cd version].lnk" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Wprawdzie zadałam "IncrediMail MediaBar 2 Toolbar" do deinstalacji, ale wiedziałam, że to uszkodzony obiekt (to widać w raportach), więc nie dziwi ten błąd który prezentujesz. Szczątki zostaną dokasowane ręcznie. Wszystkie operacje przeszły gładko, teraz poprawki: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-511461997-2466024275-2353699939-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Adrian\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-511461997-2466024275-2353699939-1000\...\Run: [Facebook Update] => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2012-07-12] (Facebook Inc.) Task: {528447B5-ADB9-442A-AAED-93D65E8E3A18} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000Core => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.) Task: {52E15BC4-A270-4A0F-A388-EA3EAD5117FB} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000UA => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.) Task: {A8DD4626-7700-4416-BCAC-1AA83F86D427} - System32\Tasks\{2EEE7391-6628-4EB8-9116-4B20D7B8A8FA} => pcalua.exe -a C:\PROGRA~2\INCRED~2\UNWISE.EXE -c /U C:\PROGRA~2\INCRED~2\INSTALL.LOG Task: {C640B76F-6410-4B19-A545-8EC90FC9AA51} - System32\Tasks\{D3A2E4D1-6BF6-4E77-BC4B-007001C90113} => pcalua.exe -a C:\Users\Adrian\Downloads\WDM_A406.exe -d C:\Users\Adrian\Downloads Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000Core.job => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-511461997-2466024275-2353699939-1000UA.job => C:\Users\Adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe RemoveDirectory: C:\Program Files (x86)\Asprate RemoveDirectory: C:\Program Files (x86)\IncrediMail_MediaBar_2 RemoveDirectory: C:\Users\Adrian\AppData\Local\Facebook RemoveDirectory: C:\Users\Adrian\Downloads\FRST-OlderVersion RemoveDirectory: C:\Users\Ilona RemoveDirectory: C:\Users\TomeczeK Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\IncrediMail_MediaBar_2 Toolbar" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane. 1. Poprawki na szczątki po programach. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk * sdnclean64.exe S2 KMService; C:\Windows\system32\srvany.exe [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\Program Files (x86)\AVG Web TuneUp C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\wtu-secure-search.xml C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Na wszelki wypadek przeprowadź skanowanie za pomocą Malwarebytes Anti-Malware. Jeśli coś znajdzie, przedstaw wyniki.

Trudno ustalić skąd BSOD przy GMERze, może Symantec mu się nie podobał. Wszystkie zadania pomyślnie wykonane. Kolejny krok: Uruchom AdwCleaner. Wstępnie wybierz tylko opcję Szukaj i nic nie usuwaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

ESET został pomyślnie usunięty, infekcja DNS również i są już adresy Netii: Tcpip\Parameters: [DhcpNameServer] 62.233.233.233 87.204.204.204 Jak sygnalizowałam, Google Chrome wygląda dziwnie. Proponuję reinstalację od zera: 1. Wyeksportuj tylko zakładki, następnie zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wybierz opcję Usuń także dane przeglądarki. Przy okazji odinstaluj także inne stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI. 2. Otwórz Notatnik i wklej w nim: S3 ESETCleanersDriver; C:\Windows\system32\Drivers\ESETCleanersDriver.sys [170280 2014-11-26] (ESET) C:\Program Files (x86)\Google\Chrome C:\Users\Admin\AppData\Local\Google\Chrome C:\Users\Admin\AppData\Local\Google\Chrome SxS C:\Windows\system32\Drivers\ESETCleanersDriver.sys Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zainstaluj najnowsze Google Chrome - link w przyklejonym w sekcji aktualizacji programów: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy Google Chrome działa poprawnie. Nadal jest problem z kontem UpdatusUser i log FRST niezmiennie wykazuje powiązanie ze ścieżką tymczasową, już nowa została wyasygnowana: UpdatusUser (S-1-5-21-1926088973-195376477-783835292-1004 - Limited - Enabled) => C:\Users\TEMP.TAFA-Komputer.000 Czy na dysku w ogóle jest folder C:\Users\UpdatusUser?

Czy był jakiś problem z uruchomieniem opcji Fix w FRST? Skrypt (jednorazowego użytku) został uruchomiony więcej niż raz. Poza tym zawirowaniem wszystko wygląda na wykonane. Kolejna faza działań: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Zadanie wykonane. Na koniec znajome kroki z zastosowaniem DelFix (pobrany FRST usuń ręcznie, bo siedzi w podfolderze nie skanowanym przez narzędzie) i czyszczeniem folderów Przywracania systemu: KLIK.

Tak, one zostały, bo podczas pisania posta było aktywne adware i post się zapisał w taki sposób. Zostawiam to, gdyż to wizualizuje jaki był początkowy problem. Wszystko pomyślnie przetworzone. Drobnostki jeszcze. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Czarny Żółty\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Czarny Żółty\Desktop\Stare dane programu Firefox CMD: del /q "C:\Users\Czarny Żółty\Downloads\kld54xxn.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Nowy skan FRST nie jest mi potrzebny.

Wszystko zrobione. Teraz: 1. Przez SHIFT+DEL (omija Kosz) usuń ręcznie ten skrót po adware, gdyż ze względu na dziwne znaki FRST nie był w stanie tego przetworzyć: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download O.S.T.R - Podrż Zwana Życiem _2015_ [mp3@320kbps] Torrent - KickassTorrents.lnk 2. Zainstaluj świeże Google Chrome - linki w przyklejonym w sekcji aktualizacji programów: KLIK. Zrób nowy log FRST (bez Addition i Shortcut) mający potwierdzić, że nowa instalacja nie odziedziczyła żadnych złych ustawień.

Ta infekcja stosuje nową metodę ładowania, której jeszcze skan FRST nie wychwytuje. Na razie podaj dodatkowe informacje: Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\Google Folder: C:\Program Files (x86)\Mozilla Firefox CMD: type "C:\Program Files (x86)\Google\Chrome\Application\master_preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. Dostarczony GMER doklejam do pierwszego posta, bo tak to miało być od razu podane. Ale już wyniki o które proszę powyżej w nowym poście przedstawiasz.

Tak, bo punkt 3, czyli Fix FRST w ogóle nie został wykonany ... Proszę otwórz Fixlog i porównaj z moim skryptem w poście - całkowicie zniekształcona treść, wszystkie linie posklejane, komendy nie wykonały się. Powtarzaj punkty 3 + 4, skrypt przeklejony do Notatnka musi mieć identyczne przejścia do nowej linii jak w moim poście. Jeśli używasz przeglądarkę IE do przeklejania treści, skorzystaj z innej. Tak, Uninstall na Primary IDE i restart komputera.

Myślę, że sprawa jest rozwiązana. Ostatni skrypt poprawkowy na koncie Mateusz - do Notatnika wklej: HKU\S-1-5-21-606281877-1479866930-3929170589-1003\...\Run: [DAEMON Tools Lite] => "C:\Programy\DAEMON Tools Lite\DTLite.exe" -autorun RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Pomiń tę pozycję i przejdź do wykonania punktów 3+4.

Skrypt uruchomiłeś na koncie Tomek a nie Mateusz jak wskazywałam, dlatego też niektóre wpisy Mateusza (nie związane z infekcją) nie zostały przetworzone. Teraz jest kompletnie inna rzecz w logu, a mianowicie widać śmiecia ActiveCoupon w Firefox konta Tomek, ale konsekwentnie nic nie widać na koncie Mateusz. Czy na pewno problem jest też w Firefoxie konta Mateusz? Sprawdzaj to po pełnym wylogowaniu poprzez restart. Na razie zresetuj Firefoxa (menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox) na koncie Tomek i podaj rezultaty czy nadal są problemy z reklamami.

Zostaw osłony Avast wyłączone do czasu zrobienia raportów z FRST.

Jak sądzę, wykonywałeś jakieś akcje przez uruchomieniem mojego skryptu, gdyż skrypt mimo że był uruchomiony po raz pierwszy, prawie nic nie znalazł. Drobnostki jeszcze, tzn. usunięcie profilu Google Chrome (wygląda na odinstalowane): Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\admin\AppData\Local\Google Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wyłącz osłony Avast na czas wykonywania poleceń i kontynuuj. Tak, wiem o tym - w logach widać zmodyfikowane skróty LNK przeglądarki z dopisanym tym adresem i inne miejsca z tym przekierowaniem. Uwzględniam to w skrypcie FRST.