picasso

Adware przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej i jest konieczna całkowita reinstalacja od zera. Do wykonania: 1. Z Google Chrome wyeksportuj tylko zakładki, następnie zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wbierz opcję Usuń także dane przeglądarki. Na razie nie instaluj ponownie przeglądarki. 2. Odinstaluj także stare wersje: Adobe AIR, Java 7 Update 67. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Startup: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download O.S.T.R - Podrż Zwana Życiem _2015_ [mp3@320kbps] Torrent - KickassTorrents.lnkŻyciem _2015_ [mp3@320kbps] Torrent - KickassTorrents.exe (No File) Task: {88D20071-A493-4FF5-8AAE-8C9A24471C2D} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: C:\Windows\Tasks\0215avUpdateInfo.job => C:\ProgramData\Avg_Update_0215av\0215av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\0614aUpdateInfo.job => C:\ProgramData\Avg_Update_0614a\0614a_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\0814avUpdateInfo.job => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\1114avUpdateInfo.job => C:\ProgramData\Avg_Update_1114av\1114av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\1214avUpdateInfo.job => C:\ProgramData\Avg_Update_1214av\1214av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\AVG_REG_0214c.job => C:\ProgramData\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe Task: C:\Windows\Tasks\AVG_SYS_TASK_DELETE.job => C:\ProgramData\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShortcutWithArgument: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1391605310&from=cor&uid=ST9500325AS_S2W8WGT5 ShortcutWithArgument: C:\Users\Wojciech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1391605310&from=cor&uid=ST9500325AS_S2W8WGT5 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-4225948802-2122742746-3075298040-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://here.com SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391605310&from=cor&uid=ST9500325AS_S2W8WGT5&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files\Google C:\Program Files (x86)\Google C:\ProgramData\{25d3b77b-69e6-e5db-25d3-3b77b69edded} C:\ProgramData\8700427414304003993 C:\ProgramData\lbgkomjhaeakdlanjamgonacemjokjhe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Update Management Tool.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kolekcja Klasyki C:\Users\Wojciech\AppData\Local\Google C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Aff Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

YAC (Yet Another Cleaner) to szkodliwy program wątpliwej reputacji: KLIK. Nie instaluj już więcej tego śmiecia! W systemie jest adware Assist Point, które zostało nabyte z serwisu dobreprogramy.pl podczas pobierania softu Sony przy udziale szkodliwego "Asystenta pobierania": KLIK. Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 7 Update 51, McAfee Security Scan Plus, Norton Online Backup, OpenOffice.org 3.3, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1428836097&from=cor&uid=ST320LM000XHM321HI_S26VJ9KC406164&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1428836097&from=cor&uid=ST320LM000XHM321HI_S26VJ9KC406164&q={searchTerms} SearchScopes: HKU\S-1-5-21-885473801-1135821649-2530607942-1001 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: Assist Point -> {dc727a8c-7582-483c-a1c2-2b885f099bb5} -> C:\Program Files (x86)\Assist Point\Extensions\dc727a8c-7582-483c-a1c2-2b885f099bb5.dll [2015-04-12] () HKU\S-1-5-21-885473801-1135821649-2530607942-1001\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon Task: {0AFE91E0-B1DD-4508-938E-4B93E9B52F11} - \BitGuard No Task File Task: {23F45298-03B6-4908-A260-4530293DD6AA} - \AdobeFlashPlayerUpdate No Task File Task: {4A443217-EF95-4B8C-AAE8-A36D174F6D13} - System32\Tasks\{BB9AADC2-883A-4AE4-BE14-9FC652CB7112} => pcalua.exe -a C:\Users\Kasia\Downloads\385-INST-WIN7-A.EXE -d "C:\Program Files (x86)\Mozilla Firefox" Task: {8763BD22-3E09-4477-83E0-073F57FDA939} - \AdobeFlashPlayerUpdate 2 No Task File Task: {9DC8BCE5-24E5-4C85-B1DD-6620E4C13F81} - \EPUpdater No Task File Task: {B884943C-CD44-45CA-975A-38A2283400F1} - System32\Tasks\{FD23790B-E0A8-49DD-A9D4-68ABA3FD4448} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/en/abandoninstall?page=tsProgressBar S1 epyqqjlr; \??\C:\windows\system32\drivers\epyqqjlr.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S1 qwhxjyus; \??\C:\windows\system32\drivers\qwhxjyus.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\Assist Point C:\Program Files (x86)\GUT58D4.tmp C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\{*}.log C:\ProgramData\c716fd70-872c-4aaa-a07f-e248365d7f56 C:\Users\Kasia\Downloads\*(*)-dp*.exe C:\Users\Kasia\Pictures\ControlCenter3\Scan\różne\ImageShack Uploader.lnk Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4F524A2D-5637-4300-76A7-A758B70C0F01} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W Harmonogramie zadań uruchamiają się szkodniki: Task: {A57136FB-14AA-475C-A6D9-90575A2FB5F6} - System32\Tasks\Update\cryptex => C:\Users\Krzycho\AppData\Local\Temp\ariana.exe [2015-04-08] () Task: {CCDD0FAA-E2D9-43E1-AD37-33F3945F02DC} - System32\Tasks\Update\Google Update => Chrome.exe Znaleziska AdwCleaner w cache HTML5 Local Storage nie powiązane, AdwCleaner nie widzi tego wcale. Do wdrożenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A57136FB-14AA-475C-A6D9-90575A2FB5F6} - System32\Tasks\Update\cryptex => C:\Users\Krzycho\AppData\Local\Temp\ariana.exe [2015-04-08] () Task: {CCDD0FAA-E2D9-43E1-AD37-33F3945F02DC} - System32\Tasks\Update\Google Update => Chrome.exe HKU\S-1-5-21-2253125196-3734906773-2982781718-1000\...\Run: [LightShot] => C:\Users\Krzycho\AppData\Local\Skillbrains\lightshot\Lightshot.exe C:\Program Files (x86)\Temp C:\Users\Krzycho\AppData\Roaming\EF611A56-1B3A-4EC8-9C3F-71D219768C5E C:\Users\Krzycho\AppData\Roaming\Imminent C:\Windows\system32\*.tmp C:\Windows\System32\Tasks\Update DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Sprecyzuj co to znaczy "prawie w ogóle nie chodzi". W raporcie brak oznak masowej czynnej infekcji, ale owszem widać, że adware znów było instalowane - to nie są automatyczne instalacje z powietrza, to były zatwierdzone przez Ciebie ręcznie instalacje z jakiegoś "downloadera" i tu wątpliwe by antywirus zdziałał cuda: 2015-04-05 11:17 - 2015-04-05 20:06 - 00000000 ____D () C:\Program Files (x86)\ShopperPro 2015-04-05 11:17 - 2015-04-05 17:22 - 00000000 ____D () C:\Program Files (x86)\globalUpdate 2015-04-05 11:17 - 2015-04-05 11:19 - 00000000 ____D () C:\Program Files (x86)\YouTube Accelerator 2015-04-05 11:17 - 2015-04-05 11:17 - 00003520 _____ () C:\windows\System32\Tasks\Inst_Rep 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\YTAHelper 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\GOOBZO 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Kuba\AppData\Local\globalUpdate 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Kuba\AppData\Local\CrashRpt 2015-04-05 11:09 - 2015-04-05 11:10 - 00000000 ____D () C:\Users\Kuba\AppData\Local\Gameo 2015-04-05 11:09 - 2015-04-05 11:09 - 01709792 _____ (Disc Soft Ltd.) C:\Users\Kuba\Downloads\DAEMON Tools Lite 5.0.1.0407 [1].exe 2015-04-05 11:09 - 2015-04-05 11:09 - 00000172 _____ () C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url 2015-04-05 11:08 - 2015-04-05 11:08 - 00713112 _____ (Program ) C:\Users\Kuba\Downloads\DAEMON Tools Lite 5.0.1.0407.exe 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {E6EF3D5E-5439-4067-BEE0-55962F36C230} - System32\Tasks\Inst_Rep => C:\Users\Kuba\AppData\Local\Installer\Install_20089\DCytaiesmt_smtyc_setup.exe [2015-04-05] () C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\Temp C:\Users\Kuba\AppData\Local\CrashRpt C:\Users\Kuba\AppData\Local\Gameo C:\Users\Kuba\AppData\Local\globalUpdate C:\Users\Kuba\AppData\Local\Installer C:\Users\Kuba\AppData\Local\Mozilla C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Kuba\AppData\Roaming\Mozilla C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper CMD: netsh winsock reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Był uruchamiany GMER. Sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Następnie do wykonania podane wcześniej czynności, tylko w skrypcie FRST dodaj dwie extra komendy sprawdzania folderów Firefox i Opera: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-1.job => C:\Program Files\Go HD\Go HD-codedownloader.exeu/wJPTWBVa /AeTvrfwG=task /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /YLMRn=http:/js.infodatacloud.com /FiGoiP=opera /hRweu='Go HD' /lElCwfx=http:/js.clientdemocloud.com /tzhHt /teJhlb='{asw:[67108866, -2147483580, 1024]}' /VrLZe='http:/update.infodatacloud.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.exe Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.exeű/ObJNSqL /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /HTPGGFPS=11111111-1111-1111-1111-110611211180 /FiGoiP=opera /tzhHt /VrLZe='http:/update.infodatacloud.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.exe=/PVteWFCNX /gAQAOY='Go HD' /uHekwvYT C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1.xpi' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /nxXnahUI=300 /CPNOgP=sonnypenn@aol.com /XYjoEfN=0.95 /fgsZuMYq=asonnypennaolcom62180 /sJrxRJg=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/62180.rdf /VGWLKhePV='Go HD' /bECZhW='HD' /qMXVDGGkH='InstallMoon' /FiGoiP=opera /teJhlb='{asw:[67108866, -2147483580, 1024]}' /tzhHt /aPKlRJboZ /wVuHpqjsD /VrLZe='http:/update.infodatacloud.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.exe*/Omivbbo /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /pEZfO=http:/ipgeoapi.com/ /ZcKbO=http:/update.infodatacloud.com /KQRCDih=2 /YGAxzBN=http:/logs.infodatacloud.com /VrLZe='http:/update.infodatacloud.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\fun_coupons_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_notification_service.exeç/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun coupons' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1427979308' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\fun_coupons_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_updating_service.exe¬ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun_coupons_updating_service /funurl=http:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\quiz_games_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_notification_service.exeć/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='quiz games' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1428000839' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\quiz_games_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_updating_service.exe« /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=quiz_games_updating_service /funurl=http:/stats.buildomserv.com FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF HKLM\...\Firefox\Extensions: [{3f963a5b-e555-4543-90e2-c3908898db71}] - C:\Program Files\AVG\AVG9\Firefox FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl HKU\S-1-5-21-823518204-688789844-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File [] DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-823518204-688789844-682003330-500_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> G:\Mechanical 2012 z Mechanical Desktop\zainstalowane\AutoCAD Mechanical 2012\acad.exe No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Administrator\Dane aplikacji\EEYUapomOpv0Nife C:\Documents and Settings\Administrator\Dane aplikacji\f80X2gBVs5F0Egckh C:\Documents and Settings\Administrator\Dane aplikacji\kXw3rrWBcGOcmQKPdKY C:\Documents and Settings\Administrator\Dane aplikacji\ZwwMw8rLRrMZg C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games C:\Program Files\globalUpdate C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files\Mozilla Firefox Folder: C:\Program Files\Opera Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp:

Objawy wskazują na Tryb PIO, proszę o zrzuty ekranu pokazujące: urządzenia posortowane wg połączeń, by było widać gdzie jest podpięty dysk twardy oraz właściwości kanału na którym jest dysk.

Brakuje jeszcze skanu:

Tak jest, wszystko się zgadza, te pliki mają dokładnie zawartość którą zgłosiłam już. Przechodzimy do dalszych czynności: 1. Uruchom AdwCleaner. Na razie wybierz tylko i wyłącznie opcję Szukaj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Następnie zrób test z tzw. awaryjnym startem Firefox: Za bardzo się śpieszysz z instalacjami rozszerzeń do Firefox podczas gdy leczenie jest nadal w toku, co zaciemnia sprawę. Dużo manipulacji tu było, np. instalacja staroci wmpfirefoxplugin.exe (to chyba już nawet nie działa) oraz dodanie bogatej kolekcji rozszerzeń. Nie jest wykluczone, że któryś z dodanych add-onów ma jakiś bug. FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_17_0_0_134.dll [2015-03-20] () FF Plugin: @java.com/DTPlugin,version=11.40.2 -> C:\Program Files\Java\jre1.8.0_40\bin\dtplugin\npDeployJava1.dll [2015-04-07] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=11.40.2 -> C:\Program Files\Java\jre1.8.0_40\bin\plugin2\npjp2.dll [2015-04-07] (Oracle Corporation) FF Plugin: @microsoft.com/GENUINE -> disabled No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll [2014-05-13] ( Microsoft Corporation) FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~2\Office15\NPSPWRAP.DLL [2014-01-23] (Microsoft Corporation) FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_17_0_0_134.dll [2015-03-20] () FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1205146.dll [2013-10-25] (Adobe Systems, Inc.) FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2014-05-21] (Microsoft Corporation) FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll [2014-05-13] ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office15\NPSPWRAP.DLL [2014-01-22] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-04-04] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-04-04] (Google Inc.) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2014-09-04] (Adobe Systems Inc.) FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\np-mswmp.dll [2007-04-10] (Microsoft Corporation) FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npMeetingJoinPluginOC.dll [2014-05-21] (Microsoft Corporation) FF Extension: MinimizeToTray revived (MinTrayR) - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\mintrayr@tn123.ath.cx [2015-04-07] FF Extension: Eliminator Slajdów - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\jid0-GaZOxvWNYcafEsmayJDIG3XXVi8@jetpack.xpi [2015-04-07] FF Extension: Secure Login - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\secureLogin@blueimp.net.xpi [2015-04-07] FF Extension: Session Manager - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi [2015-04-07] FF Extension: Download Status Bar - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{6c28e999-e900-4635-a39d-b1ec90ba0c0f}.xpi [2015-04-07] FF Extension: ReloadEvery - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}.xpi [2015-04-07] FF Extension: Password Exporter - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}.xpi [2015-04-07] FF Extension: SoundCloud Downloader - Technowise - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{c8d3bc80-0810-4d21-a2c2-be5f2b2832ac}.xpi [2015-04-07] FF Extension: Adblock Plus - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-04-07] Wyłącz Firefox i upewnij się, że nie działa jego proces w tle. Następnie klawisz z flagą Windows + R i wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode Podaj rezultaty czy Firefox w takim stadium też wykłada się na otwieraniu nowej karty. Jeśli się okaże, że problem nie występuje, będziemy dokładniej analizować sprawę oraz obcinać zbędne / przedatowane wtyczki.

Nie skończyliśmy jeszcze. Na razie proszę o dostarczenie pliku Fixlog.txt z wynikami ostatniej akcji. Jest to potrzebne by potwierdzić zawartość tych plików, gdyż już zgłosiłam to do detekcji FRST. Na wszelki wypadek dodaj nowy log FRST z opcji Scan (bez Addition i Shortcut).

Tak, jest tu adware ... głównie od Lenovo! Tzn. inwazyjne śmieci Lenovo Browser Guard i Superfish Inc. VisualDiscovery, przy czym ten drugi wygląda na wstępnie czymś potraktowany. Jest też zestaw wątpliwej reputacji Pokki do emulowania Menu Start. Akcje wstępne: 1. Deinstalacje: - Odinstaluj adware/PUP: ClickMovie1-Downloaderv10, FreeTVDownloader, Host App Service, Lenovo Browser Guard, QuickStores-Toolbar 1.1.0, Superfish Inc. VisualDiscovery, Start Menu. - Dodatkowo zastosuj usuwacz firmowy, by pozbyć się też szkodliwego certyfikatu Superfish: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {36FBF9F7-0174-4757-BF5C-29DD8E248DF9} - \Optimize Start Menu Cache Files-S-1-5-21-731859526-1970873617-1409082529-500 No Task File Task: {3A2D448C-77E5-4EBD-9852-72A9C590F8BF} - System32\Tasks\{9C226673-D1B6-4B7A-AE66-F8F1B4066F03} => pcalua.exe -a "G:\Gry\EA Sports\FIFA 15\Origin.Games.Reg.Tools.v1.0-3DM.exe" -d "G:\Gry\EA Sports\FIFA 15" Task: {9309E774-C705-49BB-A917-A93C7110809E} - System32\Tasks\{41FA8DF1-EB0D-49C4-8029-0295ABAAEBE0} => pcalua.exe -a E:\Driver\DrvInstall.exe -d E:\Driver BootExecute: autocheck autochk * HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VisualDiscovery => ""="service" CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - G:\Programy\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-03-17] ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1423510967&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> DefaultScope {DA2C15E7-016A-4D6C-9E63-4966CB85B99B} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {4BC32F25-FA4A-4EB7-83F1-A4DC8DC7781B} URL = http://www.search.ask.com/web?tpid=SPC-SP&o=APN10951&pf=V7&p2=^B20^YYYYYY^YY^PL&gct=&itbv=12.24.1.271&apn_uid=61ABFAB9-F9D2-400A-8967-5B1B8E148977&apn_ptnrs=^B20&apn_dtid=^YYYYYY^YY^PL&apn_dbr=cr_41.0.2272.76&doi=2015-03-04&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {DA2C15E7-016A-4D6C-9E63-4966CB85B99B} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\ProgramData\APN C:\Users\Karol\AppData\Roaming\KB8888239.log C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Tu już był użytkownik, który kombinował za pomocą Revo i podobnych, a wystarczyło odpalić ten skrót: KLIK. Jaki jest problem przy uruchomieniu tego sktóru? ShortcutWithArgument: C:\Users\Piotr\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Piotr\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh Na razie zadaję deaktywację komponentów SpyHunter, by się nie uruchamiał, bo dążę cały czas do poprawnej deinstalacji. Przy okazji i inne działania poboczne (szczątki adware, wpisy puste). 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: esgiguard DisableService: EsgScanner DisableService: SpyHunter 4 Service Task: {59E9AA31-A9CA-4225-9158-17572A448C92} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-01-19] (Enigma Software Group USA, LLC.) S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-394100221-3083635422-585930115-1001\Software\Classes\.exe: exefile => HKU\S-1-5-21-394100221-3083635422-585930115-1001\Software\Classes\exefile: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-394100221-3083635422-585930115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com URLSearchHook: [s-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133] ATTENTION ==> Default URLSearchHook is missing. StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\DiscountEexttensi C:\Program Files (x86)\SocialReviver C:\Program Files (x86)\unnisaless C:\Program Files (x86)\Opera C:\ProgramData\{6aa8b13e-f10a-3559-6aa8-8b13ef10c4fb} C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\Piotr\AppData\Local\Opera Software C:\Users\Piotr\AppData\Roaming\Opera Software Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Do wykonania następujące działania: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Tilt the ball 3D. Powód: rozszerzenie zostało usunięte z Google Chrome Web Store (albo niekompatybilne, albo niepożądane integracje). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy delta-search.com, isearch.avg.com, mail.ru, search.babylon.com i przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2873684722-1015400582-2217056914-1001\...\Run: [GoogleChromeAutoLaunch_3F2E34BF7A244698209604940BA7FE5B] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [809288 2015-03-30] (Google Inc.) HKU\S-1-5-21-2873684722-1015400582-2217056914-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Damian\AppData\Local\Akamai\netsession_win.exe" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2873684722-1015400582-2217056914-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.pl/?gfe_rd=cr&ei=2HRIU7XYNKmF8QezhoCQAw Task: {1BE3BB09-3F87-460F-B160-8221A912BDC7} - System32\Tasks\WinThruster => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: {5C061339-90D9-427D-9383-1CD4D22ABA07} - System32\Tasks\{B5DECAF9-5798-4926-AB4D-92D5B22E2A3E} => pcalua.exe -a "C:\Drivers\Touchpad Driver (Synaptics, Elan)\Setup.exe" -d "C:\Drivers\Touchpad Driver (Synaptics, Elan)" Task: {97F31393-1EA3-4B89-8300-54EC9775B6E2} - System32\Tasks\WinThruster_DEFAULT => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: {9E182976-D88B-4FFB-AA53-62DEDF03C580} - System32\Tasks\WinThruster_UPDATES => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: C:\Windows\Tasks\WinThruster_DEFAULT.job => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: C:\Windows\Tasks\WinThruster_UPDATES.job => C:\Program Files (x86)\WinThruster\WinThruster.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S4 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X] C:\ProgramData\Malwarebytes C:\Users\Damian\AppData\Roaming\Solvusoft C:\Windows\system32\roboot64.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Overwolf /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. 1. Podstawowy defekt, który może tworzyć wszystkie omawiane problemy (a szczególnie mulenie i spadek wydajności), to krytyczny poziom wolnego miejsca na dysku, nieco ponad 3GB wolnego i nie wiadomo jak bardzo sfragmentowany ten skrawek jest (im bardziej = tym trudniej)! Zacznij od porządków na dysku, by uzyskać o wiele większy zakres wolnego. Ta partycja jest ogólnie mała i tu mogą być wieczne problemy z wolnym miejscem. ==================== Drives ================================ Drive c: () (Fixed) (Total:40.78 GB) (Free:3.46 GB) NTFS ==>[Drive with boot components (obtained from BCD)] 2. Ten błąd explorer.exe (enigmatycznie przedstawiony w Dzienniku zdarzeń) może być też z winy niekompatybilnych rozszerzeń powłoki. Jeśli punkt 1 nic nie wniesie do sprawy, wykonaj test pod kątem rozszerzeń powłoki. Uruchom ShellExView x64, przez klik w belkę Company posortuj wspólnie wszustkie niedomyślne wpisy (wyróżnione na różowym tle), z wciśniętym CTRL zaznacz wszystkie różowe i wyłącz, zresetuj system. Sprawdź czy są jakieś zmiany. 3. Przy okazji odinstaluj stary Bing Bar. Odpadną określone procesy. Oraz wykonaj poboczne akcje "kosmetyczne" ze spoilera:

Niestety te pliki wyglądają na infekcję CryptoWall, odszyfrowanie plików jest niemożliwe: KLIK. Widzę, że już próbowałeś ShadowExplorer, ale to raczej nie miało prawa zadziałać, infekcja kasuje wszystkie punkty Przywracania systemu, tu w logu są widoczne tylko świeże (pewnie zbyt świeże): ==================== Restore Points ========================= 25-03-2015 14:21:37 Windows Update 25-03-2015 14:22:54 Windows Update 25-03-2015 15:18:53 Windows Update 25-03-2015 15:27:43 Windows Update Moja rola ograniczy się tylko do usunięcia masowo dodanych przez infekcję plików typu HELP_DECRYPT.*, wpisów pustych i innych działań pobocznych: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Flash Player 15 ActiveX, Java 7 Update 45, Adobe Reader 9.4.6 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 69feaa; \??\C:\Windows\system32\drivers\69feaa.sys [X] S1 fbae2e; \??\C:\Windows\system32\drivers\fbae2e.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] CustomCLSID: HKU\S-1-5-21-2876564938-2257608469-1536796064-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\dbnmpntw.dll No File Task: {CE9C5DC1-F887-498C-9C12-3F268EF8703C} - System32\Tasks\{FD745C39-5BEE-4CB8-975A-4B54B58A5957} => pcalua.exe -a E:\Photoshop_CS4_Portable\PhotoshopPortable.exe -d E:\Photoshop_CS4_Portable HKLM\...\Run: [Adobe ARM] => "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-2876564938-2257608469-1536796064-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-2876564938-2257608469-1536796064-1000\...\Policies\Explorer: [HideSCAHealth] 0 C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\hj60ttrj.fee C:\ProgramData\odh8wlx1.fee C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4} CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nadal w systemie szkodliwe polityki Google wprowadzone przez adware. Do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {8E6E48A1-D360-44E6-BF51-F35325E7E49C} - System32\Tasks\{6C447920-D647-4233-8D11-CA424AA0ECE7} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {9DE57004-744B-4290-8CA6-2FC7AE90A540} - System32\Tasks\{7F0D526D-2A4D-4B2C-B97F-B75B43FE166C} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {D31BCFD6-32C2-46D7-8D09-F94A9B27AEF0} - System32\Tasks\{E59A7C35-0466-49F1-97A1-5BA63D80F9CE} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {E9C3C044-2771-4493-AACE-21374220874C} - System32\Tasks\{0576DEFB-A973-4C45-A717-65D7B040A1BD} => Chrome.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar C:\ProgramData\{*}.log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Uruchamiają się szkodliwe zadania w Harmonogramie Windows, Poza tym, w Firefox widać niepożądane rozszerzenia: Fast Start, Mozilla Firefox Hotfixer i Zoom It. Akcje do przeprowadzenia: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {544B818A-FA33-44EC-9516-1BE6C73970C5} - System32\Tasks\WOYWFU => C:\Users\admin\AppData\Roaming\WOYWFU.exe [2015-03-29] (InstallMoonV29.03) Task: {A1165B29-385C-449F-BD11-1F45358A9CAE} - System32\Tasks\PQST => C:\Users\admin\AppData\Roaming\PQST.exe [2015-03-29] (InstallMoonV29.03) Task: C:\Windows\Tasks\PQST.job => C:\Users\admin\AppData\Roaming\PQST.exe Task: C:\Windows\Tasks\WOYWFU.job => C:\Users\admin\AppData\Roaming\WOYWFU.exe HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [mbot_pl_186] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\Google C:\Users\admin\AppData\Local\Opera Software C:\Users\admin\AppData\Roaming\Opera Software C:\Users\admin\AppData\Roaming\PQST C:\Users\admin\AppData\Roaming\PQST.exe C:\Users\admin\AppData\Roaming\WOYWFU C:\Users\admin\AppData\Roaming\WOYWFU.exe C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

W raporcie widzę ogólne komponenty globalUpdate i zadania w Harmonogramie. Zawartość Opery całkowicie nieznana - FRST nie skanuje tej strasznej staroci jaka tu jest zainstalowana, tzn. Opera 10/11, FRST skanuje tylko Opera 15.x i nowsze. Wstępne działania: 1. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Flash Player 9 ActiveX, Adobe Shockwave Player 12.1, Java 7 Update 7, Java™ 6 Update 20, Opera 10.51 i Opera 11.11. Jeśli już ma być instalowana ta archaiczna linia Opery, to musowo wersja 12.17 z łatą na krytyczną lukę Heartbleed. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy Google Update Helper > Dalej. Są dwa, czyli należy uruchomić narzędzie dwa razy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-1.job => C:\Program Files\Go HD\Go HD-codedownloader.exeu/wJPTWBVa /AeTvrfwG=task /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /YLMRn=http:/js.infodatacloud.com /FiGoiP=opera /hRweu='Go HD' /lElCwfx=http:/js.clientdemocloud.com /tzhHt /teJhlb='{asw:[67108866, -2147483580, 1024]}' /VrLZe='http:/update.infodatacloud.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.exe Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.exeű/ObJNSqL /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /HTPGGFPS=11111111-1111-1111-1111-110611211180 /FiGoiP=opera /tzhHt /VrLZe='http:/update.infodatacloud.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.exe=/PVteWFCNX /gAQAOY='Go HD' /uHekwvYT C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1.xpi' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /nxXnahUI=300 /CPNOgP=sonnypenn@aol.com /XYjoEfN=0.95 /fgsZuMYq=asonnypennaolcom62180 /sJrxRJg=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/62180.rdf /VGWLKhePV='Go HD' /bECZhW='HD' /qMXVDGGkH='InstallMoon' /FiGoiP=opera /teJhlb='{asw:[67108866, -2147483580, 1024]}' /tzhHt /aPKlRJboZ /wVuHpqjsD /VrLZe='http:/update.infodatacloud.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.exe*/Omivbbo /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /pEZfO=http:/ipgeoapi.com/ /ZcKbO=http:/update.infodatacloud.com /KQRCDih=2 /YGAxzBN=http:/logs.infodatacloud.com /VrLZe='http:/update.infodatacloud.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\fun_coupons_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_notification_service.exeç/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun coupons' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1427979308' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\fun_coupons_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_updating_service.exe¬ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun_coupons_updating_service /funurl=http:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\quiz_games_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_notification_service.exeć/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='quiz games' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1428000839' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\quiz_games_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_updating_service.exe« /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=quiz_games_updating_service /funurl=http:/stats.buildomserv.com FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF HKLM\...\Firefox\Extensions: [{3f963a5b-e555-4543-90e2-c3908898db71}] - C:\Program Files\AVG\AVG9\Firefox FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl HKU\S-1-5-21-823518204-688789844-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File [] DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-823518204-688789844-682003330-500_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> G:\Mechanical 2012 z Mechanical Desktop\zainstalowane\AutoCAD Mechanical 2012\acad.exe No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Administrator\Dane aplikacji\EEYUapomOpv0Nife C:\Documents and Settings\Administrator\Dane aplikacji\f80X2gBVs5F0Egckh C:\Documents and Settings\Administrator\Dane aplikacji\kXw3rrWBcGOcmQKPdKY C:\Documents and Settings\Administrator\Dane aplikacji\ZwwMw8rLRrMZg C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games C:\Program Files\globalUpdate C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj Internet Explorer 8: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy.

W podanych raportach brak oznak infekcji, za to widać zainstalowany crack KMSpico. Wyniki skanów: - MBAM: PUP.Optional.Somoto to drobny plik w Temp związany z instalacjami adware. Nic szczególnego. Uruchamiałeś po prostu instalator jakiegoś programu, który miał wbudowany interfejs oferowania sponsorów. - AVG: Koń trojański Pakes to crack do którejś gry zainstalowany celowo, a wykryty przez AVG, gdy nawigowałeś w eksploratorze Windows. Nie wiadomo czy było to faktyczne zagrożenie. Wdróż tylko działania kosmetyczne: 1. Odinstaluj ten przestarzały konstrukcyjnie Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" SearchScopes: HKU\S-1-5-21-3439509189-42378888-3891444633-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\Temp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Poprzednie zadania wykonane. W związku z tym, że nic już nie widać w raporcie, to adware w Firefox musi siedzieć w globalnej lokalizacji, której nie obejmuje reset Firefox, i to takiej której nie skanuje FRST (czyli nie rozszerzenia i wtyczki tylko inna modyfikacja). W skrypcie FRST pobierałam ogólny DIR folderu Firefox. I są niepożądane obiekty. Pomijając pliki typu FA*.tmp w katalogu Firefox, za tę infekcję z hyperlinkami odpowiadają my.cfg i my-prefs.js utworzone tego samego dnia, dodatkowo jest jeszcze skrypt badań Gemius (KLIK): 2015-03-25 20:35 - 2015-03-25 20:35 - 0013494 _____ () C:\Program Files (x86)\Mozilla Firefox\my.cfg 2015-03-25 19:32 - 2015-03-25 19:32 - 0000088 _____ () C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js 2015-03-22 10:54 - 2015-03-03 18:08 - 0000082 _____ () C:\Program Files (x86)\Mozilla Firefox\defaults\pref\all-gemius.js Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type "C:\Program Files (x86)\Mozilla Firefox\my.cfg" CMD: type "C:\Program Files (x86)\Mozilla Firefox\defaults\pref\all-gemius.js" CMD: type "C:\Program Files (x86)\Mozilla Firefox\browser\defaults\preferences\my-prefs.js" C:\Program Files (x86)\Mozilla Firefox\*.tmp C:\Program Files (x86)\Mozilla Firefox\my.cfg C:\Program Files (x86)\Mozilla Firefox\defaults\pref\all-gemius.js C:\Program Files (x86)\Mozilla Firefox\browser\defaults Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. Potwierdź ustąpienie objawów adware z Firefox.

Malware wprowadziło polityki oprogramowania blokujące programy zabezpieczające. Do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [tray_ico0] => [X] HKLM\...\Run: [tray_ico] => [X] HKLM\...\Run: [tray_ico1] => [X] HKLM\...\Run: [tray_ico2] => [X] HKLM\...\Run: [tray_ico3] => [X] HKLM\...\Run: [tray_ico4] => [X] HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\AVAST Software GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-860636357-3192807667-3840191364-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-860636357-3192807667-3840191364-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = Toolbar: HKU\S-1-5-21-860636357-3192807667-3840191364-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File CustomCLSID: HKU\S-1-5-21-860636357-3192807667-3840191364-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\pawelix\Downloads\non-stop-pol-5699217.exe No File Task: {68DFD31E-5AC8-40D9-A90D-A5514A53BBC6} - System32\Tasks\{6CA1D13D-686E-4637-B49B-CA5189A6EBD0} => pcalua.exe -a "C:\Program Files\Real\RealPlayer\Update\r1puninst.exe" -c RealNetworks|RealPlayer|15.0 Task: {82140FDC-2890-4570-A7D4-EE6F5D61427E} - System32\Tasks\{B3DBDB4C-1236-4C7D-9FDB-428B5F70A9F5} => pcalua.exe -a C:\Users\pawelix\Desktop\PI\Xming-6-9-0-31-setup.exe -d C:\Users\pawelix\Desktop\PI Task: {D846CFDB-E3BC-49F4-B138-14724BF797BE} - System32\Tasks\{12632EE4-CD25-49D0-BDC6-81E253008BB7} => pcalua.exe -a C:\Windows\system32\spool\drivers\w32x86\3\LXBLUN5C.EXE -c -dLexmark Z700-P700 Series S3 catchme; \??\C:\Users\pawelix\AppData\Local\Temp\catchme.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gabedit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\PC-Optimizer C:\ProgramData\F-Secure C:\Users\pawelix\AppData\Local\F-Secure C:\Users\pawelix\AppData\Local\Google C:\Users\pawelix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2e9b73709efe5cec\MATLAB R2011a.lnk C:\Users\pawelix\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\openfm.lnk C:\Users\pawelix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OriginLab C:\Users\pawelix\Documents\OpenFM.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\pawelix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Cóż, w logu jest szkodliwy ukraiński DNS i to jest DNS pobierany z routera... FRST pokazuje aż dwa ustawienia to poświadczające, wyciąg z rejestru (pierwszy wpis) oraz wyciąg typu ipconfig nie z rejestru (drugi wpis): Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 DNS Servers: 195.238.181.164 - 8.8.8.8 To jedyna rzecz w Twoich raportach, która może się wiązać ze zgłoszonymi przekierowaniami. Poza tym DNS brak innych oznak infekcji. Mówimy o tym samym routerze TP-Link TD-W8901G co w poprzednim temacie, czyli który miał już zaktualizowane firmware? Czy ten router to jedyne urządzenie w Twojej sieci? Czy po ustawieniu routera Windows był resetowany (wtedy się aktualizują ustawienia DNS)?

Zestaw logów FRST niekompletny - urwany niepełny Addition oraz brak pliku Shortcut. Nie został dostarczony także GMER. W systemie jest zainstalowane adware. W związku z tym, że log Addition nie jest cały, usuwanie może być niepełne w pierwszym podejściu. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware: Photoscape Packages, SimilarWeb, WebConnect 3.0.0. - Stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64; system32\drivers\{664f7cae-01d9-48b5-bc90-e3c3d6bb0ddb}w64.sys [X] S1 {78621d41-c71d-4d6b-a4da-c1af0f310e3e}w64; system32\drivers\{78621d41-c71d-4d6b-a4da-c1af0f310e3e}w64.sys [X] S1 {951b00f5-f3a4-4dc9-9aac-412d27c14053}w64; system32\drivers\{951b00f5-f3a4-4dc9-9aac-412d27c14053}w64.sys [X] S1 {f365189d-3e18-4f01-8423-a1ed102ed962}w64; system32\drivers\{f365189d-3e18-4f01-8423-a1ed102ed962}w64.sys [X] S1 wStLibG64; system32\drivers\wStLibG64.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1156661441-3988215128-3090756461-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na URLSearchHook: HKLM-x32 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15} URLSearchHook: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 - Default Value = {74198672-5F7D-4FE9-A611-4AC1D5A66A15} SearchScopes: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> DefaultScope {6F8E6CC7-1F6F-4676-97DD-DAB73D235582} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=114 SearchScopes: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> {087ECAB1-8E74-4FAB-8609-2C4EEFCE2A7F} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=82C4339D-2C2B-4D4B-9D57-23ED298F03FC&apn_sauid=DE2BFF0C-66F3-42AD-B66D-679116BFA9C7 SearchScopes: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> {6F8E6CC7-1F6F-4676-97DD-DAB73D235582} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=114 BHO: No Name -> {4F524A2D-5637-4300-76A7-7A786E7484D7} -> No File BHO-x32: No Name -> {02478D38-C3F9-4efb-9B51-7695ECA05670} -> No File Toolbar: HKU\S-1-5-21-1156661441-3988215128-3090756461-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\9770d137-0554-4a98-9776-1cfcef3857da C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Roaming\msnsvconfig.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Brak oznak infekcji. Możesz wykonać tylko kosmetykę: 1. Odinstaluj śmieciarski Dll-Files Fixer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ProxyServer: [s-1-5-21-526416496-3959838689-68540624-1001] => localhost:8080 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-526416496-3959838689-68540624-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Task: {2BD435C8-7D5A-450B-A72A-9633B1A0950C} - \AdobeAAMUpdater-1.0-Emperor-Hajasz No Task File Task: {40D21CD2-3C50-44F2-97C5-43F83A67AEED} - \Driver Booster SkipUAC (Hajasz) No Task File C:\ProgramData\TEMP C:\Users\Hajasz\AppData\Local\70149b02515b3bb20dd492.47983420 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. przedstaw wynikowy fixlog.txt. Ogólne logi FRST nie są mi potrzebne ponownie.

Posty posklejałam dla porządku, oczywiście odpowiadasz mi już w nowych postach. Próbując rozwiązać problem stosowałaś program-naciągacz SpyHunter, z daleka od tego śmiecia. W Firefox są bardzo niepożądane obiekty Mozilla Firefox Hotfixer i Zoom It. Poza tym, widać pobrany crack KMSpico, przypuszczalnie z lewego źródła. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj SpyHunter. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [mbot_pl_187] => [X] HKLM-x32\...\Run: [gmsd_pl_82] => [X] Task: {41B2C015-0B6F-42B1-A388-521A7F90765E} - System32\Tasks\QOZPH => C:\Users\eN\AppData\Roaming\QOZPH.exe Task: {63D8D5E9-7310-4111-9FD7-85D341A53029} - System32\Tasks\GEHMI => C:\Users\eN\AppData\Roaming\GEHMI.exe Task: {BEED34FE-19CD-4A4F-99DD-A3BD03658302} - System32\Tasks\{BE57E910-AA33-492D-BA99-3277EEFA32E0} => pcalua.exe -a C:\Users\eN\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=face Task: C:\WINDOWS\Tasks\GEHMI.job => C:\Users\eN\AppData\Roaming\GEHMI.exe Task: C:\WINDOWS\Tasks\QOZPH.job => C:\Users\eN\AppData\Roaming\QOZPH.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1447782042-1724399618-3570055510-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files\KMSpico C:\Program Files (x86)\gmsd_pl_82 C:\Program Files (x86)\Google C:\Program Files (x86)\HQCinema Pro 2.1V02.04 C:\Program Files (x86)\KMSPico 10.0.6 C:\Program Files (x86)\Opera C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Temp C:\ProgramData\{98abf048-2aaa-2ea9-98ab-bf0482aac120} C:\ProgramData\{b5cbc006-3925-2e95-b5cb-bc0063920018} C:\ProgramData\{d5531d9d-869b-53f7-d553-31d9d8697676} C:\ProgramData\1161215232349302566 C:\ProgramData\Orbit C:\ProgramData\Spybot - Search & Destroy C:\Users\eN\AppData\Local\CrashRpt C:\Users\eN\AppData\Local\nsl5BA.tmp C:\Users\eN\AppData\Local\Temp-log.txt C:\Users\eN\AppData\Local\27032 C:\Users\eN\AppData\Local\Google C:\Users\eN\AppData\Local\Opera Software C:\Users\eN\AppData\Roaming\03AA02FC-1427994645-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\03AA02FC-1427995152-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\03AA02FC-1427996992-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\03AA02FC-1427997314-0529-6F06-5E0700080009 C:\Users\eN\AppData\Roaming\cpuminer C:\Users\eN\AppData\Roaming\InstallShield C:\Users\eN\AppData\Roaming\Opera Software C:\Users\eN\AppData\Roaming\GEHMI C:\Users\eN\AppData\Roaming\QOZPH C:\Users\eN\Downloads\KMSpico-v9.2.3-Final-Activator-For-Windows-and-Office-Full.7z C:\Users\eN\Downloads\KMSpico v9.2.3 Final Activator For Windows and Office Full C:\Users\eN\Downloads\SpyHunter 4.1.11.0 + Crack C:\WINDOWS\SECOH-QAD.dll C:\WINDOWS\SECOH-QAD.exe C:\WINDOWS\system32\VCLOff.ini C:\WINDOWS\system32\Drivers\Msft_Kernel_webTinstMKTN_01009.Wdf C:\WINDOWS\System32\Tasks\Safer-Networking C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\SysWOW64\VCLOff.ini Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal notujesz problemy.

W raportach brak jawnych oznak infekcji, ale: Problem pewnie tworzy któreś rozszerzenie, które zainstalowałeś celowo w dobrej wierze. Obecnie jest dużo rozszerzeń Google Chrome i Firefox (nawet oficjalnie hostowanych w Google Chrome Web Store czy Mozilla Add-ons), których autorzy szmuglują bardzo niepożądany skrypt injekcyjny (np. Superfish) lub inne niepożądane dodatki. U Ciebie widać zainstalowane następujące rozszerzenia Google Chrome: Chrome: ======= CHR Extension: (Google Translate) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2015-02-17] CHR Extension: (Google Slides) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-02-16] CHR Extension: (Google Docs) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-16] CHR Extension: (Google Drive) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-02-16] CHR Extension: (Please enter your password) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bfbmjmiodbnnpllbbbfblcplfjjepjdn [2015-02-17] CHR Extension: (WOT) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bhmmomiinigofkjcapegjjndpbikblnp [2015-02-17] CHR Extension: (YouTube) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-02-16] CHR Extension: (TV) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\bppbpeijolfcampacpljolaegibfhjph [2015-02-17] CHR Extension: (Google Search) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-02-16] CHR Extension: (Video Downloader professional) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\elicpjhcidhpjomhibiffojpinpmmpil [2015-02-17] CHR Extension: (Google Sheets) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-02-16] CHR Extension: (AdBlock) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-02-17] CHR Extension: (QuickTime for Chrome) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\glkdifongmamddfegpjkmghbmoikkjai [2015-02-17] CHR Extension: (Youtube-to-MP3) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\jekmfmemcfggilfpgplgjbfaijgchhfc [2015-02-17] CHR Extension: (Movie Downloader Professional) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\kmbapgnhedgedkgomjjdlkonfadkpole [2015-02-17] CHR Extension: (Auto HD For YouTube™) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\koiaokdomkpjdgniimnkhgbilbjgpeak [2015-02-17] CHR Extension: (FVD Video Downloader) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\lfmhcpmkbdkbgbmkjoiopeeegenkdikp [2015-02-17] CHR Extension: (SPOI Options) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\medeknkggnkeffoahbphecmjoakbpiab [2015-02-17] CHR Extension: (Video download helper) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\mnkioblodjcgkdailhejgcocjkkoochj [2015-02-17] CHR Extension: (Google Wallet) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-02-16] CHR Extension: (Gmail) - C:\Documents and Settings\Dell-2012\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Profile 3\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-02-16] Odrzucając firmowe Google oraz zaufane (AdBlock, WOT), podejrzane rozszerzenia to: 1. QuickTime for Chrome - To nie jest oficjalna wtyczka QuickTime. Tutaj raporty, że rozszerzenie otwiera niepożądane adresy: KLIK. 2. FVD Video Downloader - Nie jest wykluczone, że uruchamia skrypt adware Superfish. W Firefox również masz rozszerzenie tej samej firmy, znane z posiadania niepożądanych dodatków oraz wstawiania skryptu Superfish: KLIK, KLIK, KLIK. FF Extension: Flash Video Downloader - YouTube HD Download [4K] - C:\Documents and Settings\Dell-2012\Dane aplikacji\Mozilla\Firefox\Profiles\3xiybotp.default\Extensions\artur.dubovoy@gmail.com [2015-02-16] Nie miałam czasu dokładnie przejrzeć rozszerzeń Opery. To inny problem i wątpliwe, by to było związane z infekcją. Takie automatyczne przeładowanie ikon oznacza błąd procesu explorer.exe, a czynniki mogące to powodować to np. wadliwe rozszerzenia powłoki czy kodeki. Wstępnie: 1. W Google Chrome: - Zresetuj synchronizację (o ile włączona): KLIK. - Ustawienia > karta Rozszerzenia > odinstaluj QuickTime for Chrome, FVD Video Downloader. 2. W Firefox: odinstaluj rozszerzenie Flash Video Downloader - YouTube HD Download [4K]. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X] U2 CertPropSvc; No ImagePath S3 cnnctfy2MP; system32\DRIVERS\cnnctfy2.sys [X] S3 NETwNx32; system32\DRIVERS\NETwNx32.sys [X] U4 vsserv; No ImagePath U1 WS2IFSL; No ImagePath Task: C:\WINDOWS\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}.job => C:\Documents and Settings\All Users\Dane aplikacji\cis13.exe HKLM\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] \WINDOWS\system32\userinit.exe, HKLM\...\Policies\Explorer\Run: [] => No File HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1957994488-1659004503-839522115-1003\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF Startup: C:\Documents and Settings\Dell-2012\Menu Start\Programy\Autostart\WinFlip.lnk HKU\S-1-5-21-1957994488-1659004503-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1957994488-1659004503-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Dell-2012\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Dell-2012\Menu Start\AVS Media C:\Documents and Settings\Dell-2012\Pulpit\Nieużywane skróty pulpitu\Tunatic.lnk C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\OperaMail /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji wymienionych rozszerzeń nadal występują problemy adware w przeglądarce (sprawdź po kolei Firefox, Google Chrome i Operę).