picasso

Tu brak oznak infekcji, więc w tym przypadku problem raczej leży w firmowych zintegrowanych aplikacjach, czyli McAfee LiveSafe – Internet Security (bardzo rozbudowany i ingerencyjny pakiet, w Dzienniku zdarzeń błędy jego usług) oraz WebStorage (dysk "w chmurze" od ASUSa, element problematyczny i kolidujący z pracą eksploratora Windows). Proponuję rozpocząć od deinstalacji wymienionych programów. Po tym zrób nowy log FRST (włącznie z Addition) i podsumuj czy jest poprawa w działania systemu. Smart File Advisor to bardzo niepożądany program przejmujący skojarzenia plików, zintegrowany w instalatorze "wersji darmowej" Alcohol 120% / 50% (jest to robione za zgodą producenta Alcohola). Jest on wstawiony w instalatorze jako komponent "niezbędny" do działania Alcohola i nie można go nawet odznaczyć! Jedyny sposób, by zainstalować ten rodzaj wersji Alcohol bez tego zintegrowanego śmiecia, to wykonać instalację bez połączenia sieciowego. Obecnie w raporcie nie ma już śladów "advisora", jak mówię to nie on jest przyczyną problemów.

Wszystko wykonane. Ostatni Fix do FRST. Do Notatnika wklej: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\COMODO RemoveDirectory: C:\ProgramData\Comodo RemoveDirectory: C:\Users\bart\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\bart\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Czy notujesz jeszcze jakieś problemy? I drobne poprawki. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS CMD: del /q C:\Users\Robert\Downloads\xid7dghx.exe CMD: del /q C:\Users\Robert\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wykonane. Na zakończenie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz wymień obecną w systemie Java na najnowszą wersję: KLIK.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Default\AppData\Local\Google RemoveDirectory: C:\Users\Kamil\AppData\Local\Comodo RemoveDirectory: C:\Users\Kamil\AppData\Local\Google\Chrome SxS Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Monia\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Nie, nie o to chodziło. Ja tylko mówiłam w czym był problem, że deinstalacja nie pomogła (w ogóle nie usuwała profilu Firefox). Reinstalacja Firefox była tu zresztą kompletnie zbędna, wystarczyło wykonać tylko reset ustawień (tworzy nowy profil). Zadania pomyślnie wykonane. Drobna poprawka. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Trend Micro RemoveDirectory: C:\Users\Karol\Desktop\Stare dane programu Firefox CMD: del /q C:\Windows\system32\TmInstall.log CMD: del /q C:\Windows\SysWOW64\TmInstall.log Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Wszystko wygląda OK. Jeszcze drobna poprawka na szczątki. Otwórz Notatnik i wklej w nim: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Users\Erni\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Erni\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Erni\Downloads\kkk9eugu.exe CMD: del /q C:\Users\Erni\Downloads\ComboFix.exe Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. Pokaż go. Nowe logi z FRST nie są już potrzebne.

Zasady działu, tu jest zakaz podpinania się pod cudze wątki: KLIK. Post wydzielony w osobny temat. Co oznaczają te liczne pliki FRST "Addition"?! Usuwam zostawiając tylko jeden plik. Brak za to trzeciego obowiązkowego raportu FRST Shortcut. Domyślną przeglądarką jest Google Chrome, w raporcie brak oznak "Rollaround ads", co oznacza, że prawdopodobnie został zmodyfikowany któryś plik Chrome i trzeba wykonać reinstalację przeglądarki. Próbując rozwiązać problem używałeś wątpliwy program z czarnej listy - YAC (Yet Another Cleaner) - z daleka od niego. Działania o wykonania: 1. W systemie działa niepoprawnie odinstaloway McAfee SiteAdvisor. Do jego usunięcia zastosuj firmowy usuwacz McAfee Consumer Product Removal Tool. 2. Reinstalacja Google Chrome. Wyeksportuj tylko zakładki, odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj ponownie przeglądarkę. Linki pobierania: KLIK. 3. Pozostałe korekty na wpisy puste i podobne. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 cpuz136; \??\C:\Users\dell\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 GENERICDRV; \??\C:\Users\dell\Downloads\amifldrv64.sys [X] R1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1367411196-3539214837-2270385853-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-1367411196-3539214837-2270385853-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-1367411196-3539214837-2270385853-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-1367411196-3539214837-2270385853-1001 -> {C6987843-B81D-4EFA-8B98-23D60807D099} URL = CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-02-09] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - http://clients2.google.com/service/update2/crx Task: {37987FDD-6E7A-4DD3-9AE0-7E926102E5F1} - System32\Tasks\{3369E3E3-1967-423F-87F5-9A4F8DCB8327} => pcalua.exe -a C:\Users\dell\AppData\Roaming\IDM\bin\chrome_uninstaller.exe C:\ProgramData\*.log C:\ProgramData\Malwarebytes C:\Users\dell\Downloads\yet_another_cleaner_sk_7196726.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Wprowadź jeszcze drobne poprawki na inne sfery: 1. Odinstaluj stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.5.0 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3822821414-1150674880-4000428145-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-3822821414-1150674880-4000428145-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01 HKU\S-1-5-21-3822821414-1150674880-4000428145-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 SearchScopes: HKLM-x32 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3822821414-1150674880-4000428145-1000 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3822821414-1150674880-4000428145-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 Task: {DA62F508-0DA2-4C66-B95B-E2518D853266} - System32\Tasks\{FD358D61-9936-48B2-BFAB-B186A641EA22} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=404 C:\Program Files (x86)\GUTAA83.tmp C:\Program Files (x86)\STOPzilla C:\ProgramData\STOPzilla! C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\pss\Core Temp.exe.Startup Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Dom^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Core Temp.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

W Firefox jest korespondujące rozszerzenie adware zamontowane. Ale to nie wszystko co się tu niedobrego dzieje. Próbując rozwiązać problem adware zainstalowałeś niepożądane programy-naciągacze SpyHunter 4 + YAC (Yet Another Cleaner). YAC wykonał również liczne przkierowania typu hijack na własną podejrzaną wyszukiwarkę we wszystkich zainstalowanych przeglądarkach. Do poczytania też te wątki na temat YAC: KLIK, KLIK. Wstępne działania: 1. Przez Panel sterowania odinstaluj SpyHunter 4, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 andnetadb; System32\Drivers\lgandnetadb.sys [X] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\KarmimyPL\PCAnalyzer.sys [X] Task: {214B756C-5FAE-4AF9-8CBA-77EFA027BC5C} - \Speedial No Task File Task: {393610A9-46B3-4643-ACB2-B7B086FA9F1B} - \RegClean Pro_DEFAULT No Task File Task: {46EB9739-0498-432C-AADC-807FF63D566F} - System32\Tasks\Opera scheduled Autoupdate 1405254120 => C:\Program Files (x86)\Opera\launcher.exe Task: {4DCB1DE4-1B4A-423F-A2EA-B610A0BD6AC2} - System32\Tasks\{07FAF33A-77D6-417F-BC46-524C01E77AE9} => pcalua.exe -a "C:\Users\Erni\Downloads\DirectX 9.29.1974.exe" -d C:\Users\Erni\Downloads Task: {6AB7CB66-FF63-45C7-B61A-FC0FE16A550C} - \RegClean Pro No Task File Task: {7284E983-14B1-4204-A7B6-F9035382F45E} - System32\Tasks\{7DA21BD2-5603-4E28-AD0F-B6CAF30B5C43} => pcalua.exe -a "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox\VirtualBox-4.3.20-96997-Win.exe" -d "I:\EGZAMIN ZAWODOWY ETAP PRAKTYCZNY\VirtualBox" Task: {8F7677C5-5C56-4CD9-9EC2-DCF80C44E4A3} - System32\Tasks\{8FBC5879-38D2-44E8-AE37-CA136A4160EC} => pcalua.exe -a C:\Users\Erni\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=w3i -simple=1 Task: {9477188D-4782-4AA9-94F9-FE0C31E5B51A} - \RegClean Pro_UPDATES No Task File Task: {C0DB0230-3585-4743-8F23-5C38E922BBA7} - System32\Tasks\KarmimyPL => C:\Program Files (x86)\KarmimyPL\Karmimy.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-2257826360-190355185-2570135872-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=21.6.0.32 SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir= SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231291 SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255 SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {31090377-0740-419E-BEFC-A56E50500D5B} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_21_ff&cd=2XzuyEtN2Y1L1Qzu0DyEtA0DyB0EtB0CtC0EyEyC0AzzyB0DtN0D0Tzu0SzzyBtDtN1L2XzutBtFtBtDtFtCtAtFyBtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0EtBzztByDyE0AtGyDzz0ByCtG0D0C0ByEtGtDzztAtBtGtBtAzzzytBzzyCzz0E0BzyyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDtDtByCzy0CyEtAtG0FyC0EyBtG0A0EtD0FtGzzyCzz0DtGtD0ByC0C0E0EyDtC0C0DtByD2Q&cr=125124226&ir= SearchScopes: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=st500dm002-1bd142_s2ach0mrxxxxs2ach0mr&ts=1425231255 Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2257826360-190355185-2570135872-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2257826360-190355185-2570135872-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki" CHR DefaultSearchKeyword: Default -> YAC Safe Search CHR HKU\S-1-5-21-2257826360-190355185-2570135872-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - https://clients2.google.com/service/update2/crx C:\Users\Erni\AppData\Local\{051B6519-2CE0-42AE-8C49-4EB1DE7F4F18} C:\Users\Erni\AppData\Local\{919B14D4-D505-45E6-81A6-F22BF16C5CA3} C:\Users\Erni\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Erni\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Erni\Downloads\SpyHunter-Installer.exe C:\Users\Erni\Downloads\yet_another_cleaner_sk_7196755.exe C:\Windows\system32\Drivers\etc\hosts.bak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować (Adblock Plus, CSS Reloader, FireFTP, Przelewy24, MEGA). 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy YAC Safe Search (search.yac.mx) i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Tak, widzę to adware tylko w Firefox. Reinstalacja Firefox nie pomogła zapewne dlatego, że nie zaznaczyłeś usuwania profilu z dysku. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare aplikacje i zbędniki firmowe: Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 12.0, ASUS WebStorage, MyFreeCodec, Trend Micro Titanium Internet Security. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Google\Chrome C:\Users\Karol\AppData\Local\Google\Chrome Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Client Framework" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config "Internet Manager. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W raportach widzę mocno podejrzane komponenty "InstallShield Updater" (usługa + skryptowe zadania Harmonogramu), które nie wyglądają wcale na to co nazwa sugeruje. Poza tym, jest tu jakieś proxy ustawione. W Chrome są też przy starcie otwierane dwa adresy adware. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {249C0560-71D5-4143-B9C6-E56CFE2BCFAA} - System32\Tasks\InstallShield Updater => Wscript.exe //nologo //E:jscript //B "C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini" Task: C:\Windows\Tasks\InstallShield Updater.job => Wscript.exeX//nologo //E:jscript //B C:\Users\R\AppData\Roaming\InstallShield Updater\updater.ini R2 Updater.exe; C:\Users\R\AppData\Roaming\InstallShield Updater\Updater.exe [36864 2014-12-15] (InstallShield) [File not signed] S3 GPU-Z; \??\C:\Users\R\AppData\Local\Temp\GPU-Z.sys [X] S3 t3; \SystemRoot\system32\drivers\t3.sys [X] ProxyServer: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac AutoConfigURL: [HKLM-x32] => http://127.0.0.1:8080/proxy.pac CHR StartupUrls: Default -> "hxxp://start.qone8.com/?type=hp&ts=1382629367&from=cor&uid=HitachiXHDP725050GLA360_GEA534RJ07N65A07N65AX", "hxxp://www.nationzoom.com/?type=hp&ts=1388262092&from=ild&uid=HitachiXHTS545016B9A300_091008PB5B03QCJAJ4WGX" C:\Users\R\AppData\Roaming\InstallShield Updater Hosts: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zgłoszeń nadal występują.

Skasuj plik C:\DelFix.txt z dysku. Temat rozwiązany. Zamykam.

Logi uzupełnione, teat uporządkowałam. Domyślną przeglądarką jest Google Chrome, w raporcie nie widać nic powiązanego z "Rollaround ads" w Chrome, co oznacza, że prawdopodobnie został zmodyfikowany któryś plik Chrome i trzeba wykonać reinstalację przeglądarki. Do przeprowadzenia: 1. Reinstalacja Google Chrome. Wyeksportuj tylko zakładki, odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj ponownie przeglądarkę. Linki pobierania: KLIK. 2. Inne korekty na wpisy szczątkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {D3FF0AE8-129E-484F-9C61-FD024131ADD3} - System32\Tasks\{9601E213-EA6E-46E1-8E3D-82F3D4B66269} => pcalua.exe -a G:\skoki2002start.exe -d G:\ HKU\S-1-5-21-2214583215-4056911293-1326149680-1001\...\MountPoints2: {72673b9b-becd-11e4-8257-a34df95628af} - "G:\skoki2002start.exe" BootExecute: autocheck autochk * bootdelete HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Common Files\3545fdfd-7099-487a-894e-64a4f67cb2e9.dll C:\Program Files (x86)\Common Files\8429ec87-392e-497c-9a20-d023bda37dcb.dll C:\Program Files\HitmanPro C:\ProgramData\HitmanPro C:\Users\Johnny\AppData\Roaming\MTVFGYSJ C:\Windows\system32\bootdelete.exe C:\Windows\system32\bootdelete.lst Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Widać uruchamiany w starcie szkodliwy plik z Temp, czynne szkodniki w Harmonogramie zadań i kilka innych śmieci. Akcje do wykonania: 1. Deinstalacje: - Odinstaluj Adobe Flash Player 16 NPAPI - kompletnie zbędny, to wersja dla produktów Mozilla, których tu brak. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście szczątkowy wpis Skype™ 6.18 > Dalej 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {06BB3634-A0EC-4A6B-9355-BC64EC13D59F} - System32\Tasks\FEZCDC => C:\Users\Robert\AppData\Roaming\FEZCDC.exe [2015-03-01] (InstallMoonV01.03) Task: {0EA6B268-49D9-420F-A0FD-127FAB09DCF5} - System32\Tasks\WINshell Event Logging => C:\Users\Robert\AppData\Local\Temp\Dscp1.exe [2014-10-26] () Task: {0FFB18B0-E1F4-4B43-8CE6-0699C5912D3E} - System32\Tasks\WINshell Event Notification => C:\Users\Robert\AppData\Local\Temp\SBCint2.exe [2014-10-03] (Sun Micro Systems Inc.) Task: C:\Windows\Tasks\FEZCDC.job => C:\Users\Robert\AppData\Roaming\FEZCDC.exe HKLM-x32\...\Run: [CrashReportUpdater] => C:\Windows\TEMP\spdc32.exe [1468416 2015-03-01] () HKLM-x32\...\Run: [mbot_pl_181] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 NPF; system32\drivers\NPF.sys [X] S2 SkypeUpdate; "C:\Program Files (x86)\Skype\Updater\Updater.exe" [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced LAN Scanner C:\Users\Robert\AppData\Roaming\FEZCDC C:\Users\Robert\AppData\Roaming\FEZCDC.exe C:\Users\Robert\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Windows\C_G1geng.exe C:\Windows\system32\C_G1geng.exe C:\Windows\system32\certal32.exe C:\Windows\system32\Drivers\Msft_Kernel_webTinstMK_01009.Wdf Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Mozilla /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\api-an32" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Authenum" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NetworkSaver" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: type "C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Brakuje obowiązkowego GMER. Dostarcz. Nie podałeś na czym polega niemożność uruchomienia wymienionych programów - jaki konkretnie błąd. Co widzę w raportach: - Brak oznak czynnej infekcji, do korekty będą tylko drobne szczątki adware i małe wpisy, ale to potem, gdyż jest bez znaczenia w kontekście sprawy. - Usługa Windows Defender jest w stanie "Uruchomiono". - Zainstalowany Kaspersky Internet Security działa w tle. - W Dzienniku zdarzeń błędy Kasperskiego związane z .NET Framework: Error: (02/28/2015 06:49:14 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: avpui.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.AccessViolationException Stos: w System.Drawing.SafeNativeMethods+Gdip.GdipCreateFontFromLogfontW(System.Runtime.InteropServices.HandleRef, System.Object, IntPtr ByRef) w System.Drawing.Font.FromLogFont(System.Object, IntPtr) w System.Drawing.Font.FromHfont(IntPtr) w System.Drawing.SystemFonts.get_DefaultFont() w System.Windows.Forms.Control.get_DefaultFont() w System.Windows.Forms.Control.get_Font() w System.Windows.Forms.Control.AssignParent(System.Windows.Forms.Control) w System.Windows.Forms.Control+ControlCollection.Add(System.Windows.Forms.Control) w System.Windows.Forms.Integration.WinFormsAdapter..ctor(System.Windows.Forms.Integration.WindowsFormsHost) w System.Windows.Forms.Integration.WindowsFormsHost..ctor() w KasperskyLab.Kis.UI.App.WarmUpWindowsFormsHost() w KasperskyLab.Kis.UI.App.OnStartup(System.Windows.StartupEventArgs) w System.Windows.Application.b__1(System.Object) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.DispatcherOperation.InvokeImpl() w System.Windows.Threading.DispatcherOperation.InvokeInSecurityContext(System.Object) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Windows.Threading.DispatcherOperation.Invoke() w System.Windows.Threading.Dispatcher.ProcessQueue() w System.Windows.Threading.Dispatcher.WndProcHook(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndWrapper.WndProc(IntPtr, Int32, IntPtr, IntPtr, Boolean ByRef) w MS.Win32.HwndSubclass.DispatcherCallbackOperation(System.Object) w System.Windows.Threading.ExceptionWrapper.InternalRealCall(System.Delegate, System.Object, Int32) w MS.Internal.Threading.ExceptionFilterHelper.TryCatchWhen(System.Object, System.Delegate, System.Object, Int32, System.Delegate) w System.Windows.Threading.Dispatcher.LegacyInvokeImpl(System.Windows.Threading.DispatcherPriority, System.TimeSpan, System.Delegate, System.Object, Int32) w MS.Win32.HwndSubclass.SubclassWndProc(IntPtr, Int32, IntPtr, IntPtr) w MS.Win32.UnsafeNativeMethods.DispatchMessage(System.Windows.Interop.MSG ByRef) w System.Windows.Threading.Dispatcher.PushFrameImpl(System.Windows.Threading.DispatcherFrame) w System.Windows.Threading.Dispatcher.PushFrame(System.Windows.Threading.DispatcherFrame) w System.Windows.Application.RunDispatcher(System.Object) w System.Windows.Application.RunInternal(System.Windows.Window) w System.Windows.Application.Run(System.Windows.Window) w KasperskyLab.Kis.UI.EntryPoint.Start(System.Action`1, System.Collections.Generic.IEnumerable`1, System.Func`1) w KasperskyLab.Kis.UI.EntryPoint+c__DisplayClass3.b__1() w System.Threading.ThreadHelper.ThreadStart_Context(System.Object) w System.Threading.ExecutionContext.RunInternal(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object, Boolean) w System.Threading.ExecutionContext.Run(System.Threading.ExecutionContext, System.Threading.ContextCallback, System.Object) w System.Threading.ThreadHelper.ThreadStart()

Zadania pomyślnie wykonane, usterka Usług kryptograficznych też naprawiona. Kończymy: 1. Był uruchamiany GMER. Na wszelki wypadek sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj pobrany FRST oraz folder Stare dane programu Firefox z Pulpitu. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Adblock plus oczywiście może być ponownie zainstalowany. Był wymieniany tylko dlatego, że reset Firefox obliczony na likwidację adware tworzy świeży profil, czyli poprawne rozszerzenia wcześniej zainstalowane są usuwane.

Ta pozycja była na liście zainstalowanych wcześniej. Zdaje się jednak, że w międzyczasie nastąpiły jakieś zmiany, bo kilka elementów tego updatera nie zostało znalezionych również przez Fix FRST. Widzę także inne różnice, których wcześniej nie było w raporcie FRST - otóż ujawniło się więcej obiektów Strong Signal - albo dostarczone logi były nieświeże, albo ten śmieć się w międzyczasie zrekonstruował. Kolejne poprawki: 1. Sprawdź na liście zainstalowanych czy widać Strong Signal - jeśli tak, odinstaluj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File R2 Service Mgr StrongSignal; C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce\plugincontainer.exe [581368 2015-02-28] () R2 Update Mgr StrongSignal; C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce\updater.exe [388856 2015-02-28] () S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X] C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\Program Files (x86)\Strong Signal C:\Users\User\Downloads\*(*)-dp*.exe RemoveDirectory: C:\Users\User\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt

Poprawki: 1. Ominęłam jedną usługę przez nieuwagę. Do Notatnika wklej: R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-28] (SysTool PasSame LIMITED) [File not signed] C:\ProgramData\WindowsMangerProtect C:\Users\Monia\AppData\Roaming\Google Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Nic ze skanu nie wynika. 1. Sprawdź czy problem występuje po użyciu Google Software removal tool. 2. Jeśli powyższe nie pomoże, przeinstaluj przeglądarkę. Wyeksportuj tylko zakładki, odinstaluj Google Chrome, przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj ponownie przeglądarkę. Linki pobierania: KLIK. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Jest więcej szkodliwych obiektów niż zakreśliłeś - np. cała kolekcja inwazyjnych sterowników adware. Do wykonania będzie kilka zadań. Na razie pierwsza seria: 1. Odinstaluj firmowe zbędniki: Bing Bar, Google Toolbar for Internet Explorer. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64; C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys [48792 2015-01-27] (StdLib) R1 {31c21995-b861-4864-ab50-4a53fbca73d4}Gw64; C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gw64.sys [48784 2015-02-03] (StdLib) R1 {371bcf01-e691-44bf-9345-60788e5d16a5}Gw64; C:\Windows\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}Gw64.sys [48792 2015-01-28] (StdLib) R1 {df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64; C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64.sys [48784 2015-01-31] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422472447&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1817082201-820790361-2850418920-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX&ts=1422472479&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1422472462&from=cor&uid=ST9500325AS_S2W0RCCXXXXXS2W0RCCX" FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Monia\AppData\Roaming\Mozilla\Firefox\Profiles\c3eb13e0.default\extensions\faststartff@gmail.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\Program Files (x86)\Solution Real C:\Program Files (x86)\XTab C:\Users\Public\Desktop\AsusTools\Network\ASUS WebStorage.lnk C:\Windows\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}Gw64.sys C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gw64.sys C:\Windows\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}Gw64.sys C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gw64.sys Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\omiga-plus uninstall" /f Reg: reg delete HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817082201-820790361-2850418920-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-1817082201-820790361-2850418920-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zestaw logów FRST niekompletny. Brak plików Addition + Shortcut. Uzupełnij. SpyHunter to program-naciągacz z czarnej listy! Unikać jak ognia tego wynalazku. Odinstaluj tego śmiecia. I skanery tu nie pomogą, dopóki router nie zostanie wyczyszczony i zabezpieczony. Wg raportu widać tu obecnie tylko adres routera: Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 Jeśli w ustawieniach routera brak już adresów DNS szkodnika, to problem tworzy któreś cache (bufor DNS i/lub cache przeglądarki). Na razie jednak skupmy się na routerze, bo sam twierdzisz, że zmiana DNS wystąpiła więcej niż raz, czyli są luki bezpieczeństwa. Podaj dokładny model urządzenia. I sama zmiana adresów DNS to za mało, należy zabezpieczyć router: 1. Zmienić login oraz zamknąć dostęp do panelu zarządzania od strony internetu. Instrukcje porównawcze: KLIK, KLIK. 2. Zaktualizować firmware, o ile producent routera udostępnia.

W przeglądarce jest adware Better Finder. Ale to nie wszystko, jest tu też uszkodzenie systemowe Usług kryptograficznych (baza catroot lub catroot2), tzn. multum usług i sterowników Microsoftu jest oznaczonych jako niepodpisane cyfrowo. Akcje do przeprowadzenia: 1. Pod kątem usterki Usług kryptograficznych uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k C:\Documents and Settings\All Users\Dane aplikacji\McAfee EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

We wszystkich tematach z "Roll Around" FRST nie pokazuje nic w przeglądarce Chrome. Prawdopodobnie ta infekcja modyfikuje któryś plik Google Chrome. Podaj mi dodatkowy skan - otwórz Notatnik i wklej w nim: File: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe File: C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\chrome.dll Folder: C:\Program Files (x86)\Google\Chrome Folder: C:\Users\Dom\AppData\Local\Google\Chrome CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\Extensions\external_extensions.json" CMD: type "C:\Program Files (x86)\Google\Chrome\Application\40.0.2214.115\PepperFlash\manifest.json" CMD: type "C:\Users\Dom\AppData\Local\Google\Chrome\User Data\Default\Preferences" CMD: type "C:\Users\Dom\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.