picasso

W systemie jest adware, w tym dwa inwazyjne sterowniki, które są prawdopodobną przyczyną problemu z ładowaniem stron. Działania do przeprowadzenia: 1. Odinstaluj starą dziurawą wersję Java 7 Update 21. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120 2014-06-11] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}w64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys [61120 2014-05-13] (StdLib) S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X] S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X] S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X] S3 BTATH_HCRP; \SystemRoot\System32\drivers\btath_hcrp.sys [X] S3 BTATH_HID; \SystemRoot\system32\DRIVERS\btath_hid.sys [X] S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X] S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X] S3 BtFilter; \SystemRoot\system32\DRIVERS\btfilter.sys [X] Task: {06C1997B-657F-4E02-955D-C99DA523DDA9} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-2 No Task File Task: {169E5C83-F109-4182-A689-0831568E35EB} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-3 No Task File Task: {18D4D069-20E8-4EC3-97E1-164A0CFD82CE} - System32\Tasks\update-S-1-5-21-1577275202-546194520-1271563289-1001 => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [2014-11-28] () Task: {1A77AE6A-2B4B-4283-8171-B99600056D38} - \SaveSense No Task File Task: {2CB378FC-2F05-424E-BBCC-53F7F804FDDD} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-5 No Task File Task: {381392FD-5027-4D31-A9BD-DB4A388F87A3} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File Task: {3A2DB3A1-72AD-4B23-85F0-3920A3BB7B1D} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-6 No Task File Task: {41B8C1B7-68A1-4587-A021-2474A713D155} - System32\Tasks\{16B21B81-7998-4950-95AD-83796F23D103} => pcalua.exe -a "C:\Program Files\PowerISO\PowerISO.exe" -d "C:\Users\Kamil\Desktop\Age Of Empires 3 Incl Expansion and keys\AoE III Images" -c "C:\Users\Kamil\Desktop\Age Of Empires 3 Incl Expansion and keys\AoE III Images\rld-aoe-cd1.uif" Task: {42C939A3-AC9B-459B-B3B4-653A39A70CA9} - \APSnotifierPP2 No Task File Task: {57ADF43F-6F37-48D3-9DD1-CEC50A9D36EE} - \BlockAndSurf Update No Task File Task: {800D1580-37A8-420B-8E18-A1D9D8556F5E} - \BonanzaDealsUpdate No Task File Task: {8F3C20D3-5FF2-42C9-83F0-27232068EFD9} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-7 No Task File Task: {8F945C8C-8026-4F20-92C9-BC8A133E452D} - \BrowserProtect No Task File Task: {915EDB9C-EBAB-437B-BB36-942EF6BB629A} - \APSnotifierPP1 No Task File Task: {9CD57351-3406-495D-9A18-1290EE668D04} - \BlockAndSurf_wd No Task File Task: {A317467D-4BD8-43C4-A1E4-0FA68AB71057} - System32\Tasks\update-sys => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe [2014-11-28] () Task: {D1DA9F10-E940-47EC-AC76-AF97DC1F5B7E} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-1 No Task File Task: {D63234B7-72D5-4BBD-A6A8-4D409D3D1046} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File Task: {D9D59809-ADCE-403D-9855-4C4D5B01BB4E} - \3904021f-e269-4d64-88b3-1d7db1b5d60f-4 No Task File Task: {F0D6B61F-CB21-4C37-9732-79A213B6E817} - \APSnotifierPP3 No Task File Task: C:\WINDOWS\Tasks\bench-Updater removing.job => !©¤ÄGÚC˛¸ŢI›ě»FŇ ˙˙˙˙Ś/verysilentWORKGROUP\ZAWIAS$This will uninstall Updater.0Ď1Ţ Ąń Task: C:\WINDOWS\Tasks\update-S-1-5-21-1577275202-546194520-1271563289-1001.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe Task: C:\WINDOWS\Tasks\update-sys.job => C:\Program Files (x86)\Skillbrains\Updater\Updater.exe HKLM-x32\...\Run: [fst_pl_30] => [X] HKLM-x32\...\Run: [GPUTemp] => "C:\Users\Kamil\AppData\Local\Temp\GPUTemp.exe" HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f HKU\S-1-5-21-1577275202-546194520-1271563289-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1577275202-546194520-1271563289-1001\...\Run: [Viber] => "C:\Users\Kamil\AppData\Local\Viber\Viber.exe" AppInit_DLLs: Files C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program => Files C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program C:\Program File Not Found AppInit_DLLs-x32: c:\progra~3\107860~1\bitacd1.tmp => c:\ProgramData\1078601655\BITACD1.tmp [4125696 2014-05-22] () GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1413643846&from=ild&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1413643846&from=ild&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} HKU\S-1-5-21-1577275202-546194520-1271563289-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1409177520&from=cor&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} HKU\S-1-5-21-1577275202-546194520-1271563289-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1409177520&from=cor&uid=WDCXWD7500BPVT-35HXZT3_WD-WX61A72E9441E9441&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = SearchScopes: HKU\S-1-5-21-1577275202-546194520-1271563289-1001 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M9BA9C948-F955-4336-93F2-2A1DC3A90EB3&SearchSource=58&CUI=&UM=6&UP=SP90554668-25C6-4135-86F0-FBE1B131C98F&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1577275202-546194520-1271563289-1001 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M9BA9C948-F955-4336-93F2-2A1DC3A90EB3&SearchSource=58&CUI=&UM=6&UP=SP90554668-25C6-4135-86F0-FBE1B131C98F&q={searchTerms}&SSPV= SearchScopes: HKU\S-1-5-21-1577275202-546194520-1271563289-1001 -> {255F6B65-DB46-4392-A798-6749D0F7F98F} URL = BHO: SNT -> {3D30C04E-BEC8-8F6D-960E-8F29DC4E3C19} -> C:\Program Files (x86)\SNT\8u3cH5.x64.dll No File BHO: SNT -> {87177281-2792-D7F4-A6CC-187392CB1983} -> C:\Program Files (x86)\SNT\b5i.x64.dll No File BHO-x32: SNT -> {3D30C04E-BEC8-8F6D-960E-8F29DC4E3C19} -> C:\Program Files (x86)\SNT\8u3cH5.dll No File BHO-x32: SNT -> {87177281-2792-D7F4-A6CC-187392CB1983} -> C:\Program Files (x86)\SNT\b5i.dll No File BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\Program Files (x86)\ALLPlayer\Iplex\IplexToALLPlayer.dll No File C:\Program Files (x86)\ALLPlayer C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Skillbrains C:\ProgramData\1078601655 C:\ProgramData\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\Users\Kamil\AppData\Roaming\msconfig.ini C:\Users\Kamil\AppData\Local\proxy.log C:\Users\Kamil\AppData\Local\updater.log C:\Users\Kamil\AppData\Local\Mozilla C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kamil\AppData\Local\Opera Software C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer V5.0.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\StormFall.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StormFall C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\Kamil\AppData\Roaming\Mozilla C:\Users\Kamil\AppData\Roaming\Opera Software C:\Users\Kamil\Desktop\Continue*.lnk C:\Users\Kamil\Documents\Viber.lnk C:\Users\Kamil\Downloads\Whats App PC.exe C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\zawias\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\User Guide.lnk C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustaw przeglądarkę jako domyślną, gdyż obecnie domyślną jest nieistniejąca już w systemie Opera. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Są tu dwa konta: ==================== Accounts: ============================= Kamil (S-1-5-21-1577275202-546194520-1271563289-1001 - Administrator - Enabled) => C:\Users\Kamil zawias (S-1-5-21-1577275202-546194520-1271563289-1002 - Limited - Enabled) => C:\Users\zawias Zaloguj się po kolei na każde poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób nowe logi FRST z opcji Scan: - Na koncie Kamil tylko główny bez Addition i Shortcut. - Na koncie zawias główny + Addition, bez Shortcut. To konto limitowane, więc FRST należy uruchomić przez dwuklik a nie "Uruchom jako Administrator" (zmieni się kontekst konta na Kamila). Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Poprawne zachowanie wcześniej nie jest dostatecznie przekonywującym dowodem, system i programy podlegają stałym zmianom, m.in. na skutek aktualizacji. Na wszelki wypadek zrób ponownie nowe raporty FRST (główny + Addition, Shortcut nie jest potrzebny).

Poprawki: NA KONCIE GRZEGORZ: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. NA KONCIE PRZEMEK: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-730475293-231205452-1474613943-1004\...\Run: [Yahoo! Search] => C:\Users\Przemek\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe HKU\S-1-5-21-730475293-231205452-1474613943-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {40120E4C-A783-4A89-A0B2-F6AF237C7CBE} URL = http://rts.dsrlte.com/?q={searchTerms}&r=287 SearchScopes: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> {E3ED097E-F7FB-49C5-A7EB-B7341729A0AE} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^PL&gct=&itbv=12.18.0.82&apn_uid=D47D5712-DF7A-4027-A0C1-BF20CB5E4010&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_11.0.9600.17344&doi=2014-11-02&trgb=IE&q={searchTerms}&psv=&pt=tb Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} - No File Toolbar: HKU\S-1-5-21-730475293-231205452-1474613943-1004 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com" CHR DefaultSearchKeyword: Default -> yahoo.com Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Yahoo! Search" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę adware Yahoo kierującą na adres rts.dsrlte.com oraz inne niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Na tym koncie prawdopodobnie też jest adware "Yahoo Search", a może i dodatkowe śmieci. Rozumiem, że to konto innego użytkownika. Czy jest szansa, że ta osoba dostarczy logi z tego konta?

1. Uruchom ponownie AdwCleaner, tym razem wybierz opcje Szukaj + Usuń. Gdy czyszczenie zostanie ukończone: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS CMD: del /q "C:\Documents and Settings\Dawid\Moje dokumenty\MicrosoftFixit.ProgramInstallUninstall.RNP.1233484140856643.3.1.Run.exe" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan komputera i dostarcz wynikowy log (o ile narzędzie coś znajdzie).

Istotnie, jest tu bagno infekcyjne tej konkretnej grupy CryptoWall, w tym trojan Sathurbot. Przymierzałeś się do uruchomienia SpyHunter - to program z czarnej listy! Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: ShellIconOverlayIdentifiers: [0WinSecurityProvider] -> {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} => C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll () HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [ubqjmedia] => C:\Users\PC\AppData\Local\Ubqjmedia\tmp175A.exe [430080 2015-02-23] (Fly Project Blood) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [uPHmedia] => regsvr32.exe C:\Users\PC\AppData\Local\UPHmedia\WMP.DLL HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Ofvics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\PC\AppData\Local\Ubqjmedia\mDNSResponder.dll HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Console Protect Service] => C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe [360960 2015-02-24] (©Ceysajolxofat) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Actisapi] => C:\Users\PC\AppData\Local\Temp\DHCPplay.exe HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [68668FD2] => C:\Users\PC\AppData\Roaming\68668FD2\bin.exe [77824 2015-02-25] (ForceCausally # CockiestDisassociateDisarmament FireguardConviction) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\RunOnce: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur) HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Policies\Explorer: [Run] "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe" HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Command Processor: "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe" Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rasautou.lnk Task: {8697A8EF-869D-49AA-9C39-E35B7CFE3349} - System32\Tasks\rasautou => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [2009-07-14] (©Wyebugur) HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9a1954fa-5db4-40e5-8397-013295993819} CMD: del /q /s C:\HELP_DECRYPT.* C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\APN C:\ProgramData\Microsoft\Security C:\Users\PC\AppData\Local\{75A2DCDF-222F-4890-AC46-4C6C3C589A80} C:\Users\PC\AppData\Local\BITD91F.tmp C:\Users\PC\AppData\Local\Ubqjmedia C:\Users\PC\AppData\Local\UPHmedia C:\Users\PC\AppData\Roaming\20dc23ac.dat C:\Users\PC\AppData\Roaming\68668FD2 C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\PC\AppData\Roaming\System C:\Users\PC\Downloads\C5D8D000 C:\Users\PC\Downloads\pobierz_*.exe C:\Users\PC\Downloads\SpyHunter-Installer.exe Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows.. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition). Sprawdź czy możesz uruchomić GMER. Dołącz też plik fixlog.txt .

W FRST opcja "Drivers MD5" nie miała być zaznaczona. Temat przenoszę do działu Windows 7, brak tu jakichkolwiek oznak infekcji. Czy coś się konkretnego dzieje, że temat został założony w dziale diagnostyki infekcji? PS. Pozbądź się naciągacza SpyHunter - program z czarnej listy! Możesz też wykonać kosmetyczne działania (usunięcie wpisów pustych i czyszczenie Tempów), ale to nie będzie mieć odbicia w lepszej wydajności / przyśpieszeniu. Sprawy błahe. 1. Odinstaluj SpyHunter. A ta staroć Gadu-Gadu 7.7 może być zamieniona np. WTW: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 .EsetTrialReset; C:\Windows\system32\regedt32.exe /s C:\Windows\esettrialreset.reg S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 StarOpen; No ImagePath Startup: C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rejestrowanie produktów Corela.lnk Task: {8014FDF0-E3A9-4857-93F0-F1AF598BFA64} - System32\Tasks\{693EC7DF-A134-44B8-9FB8-72A7AA864B07} => pcalua.exe -a K:\Autorun.exe -d K:\ Task: {E4280E5E-AC44-4C19-9F90-D320553141F8} - System32\Tasks\{6E671F07-AFAD-420A-BDC6-FDA16D16C598} => pcalua.exe -a "E:\Skispringen 2007\skispringen2007.exe" -d "E:\Skispringen 2007" HKU\S-1-5-21-4048412729-2036225566-221526367-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p156 URLSearchHook: HKLM - Default Value = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} FF NetworkProxy: "share_proxy_settings", true FF NetworkProxy: "type", 0 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AC3Filter\Documentation (rus)\AC3Filter & SPDIF.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RTL Playtainment C:\Users\Pat\AppData\Local\5A317C70-6484-4E48-B53D-D52C217B11C7.aplzod C:\Users\Pat\Desktop\Dokumenty\docs\Free Download Manager.lnk C:\Users\Pat\Documents\Corel\CorelDRAW X5 Samples\target.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Tym razem Fix wykonał się poprawnie. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\Administrator\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\34a523096e6ee07a C:\Documents and Settings\All Users\Dane aplikacji\3793476784543948922 C:\Documents and Settings\All Users\Dane aplikacji\Age of Empires 3 C:\Documents and Settings\All Users\Dane aplikacji\ALLPlayerRemote C:\Documents and Settings\All Users\Dane aplikacji\AVS4YOU C:\Documents and Settings\All Users\Dane aplikacji\DowwnlOOad keeppeR C:\Documents and Settings\All Users\Dane aplikacji\Garena C:\Documents and Settings\All Users\Dane aplikacji\GarenaMessenger C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate C:\Documents and Settings\All Users\Dane aplikacji\KONAMI C:\Documents and Settings\All Users\Dane aplikacji\lglkjjedhjmhekkgakggcilmnlfocdfk C:\Documents and Settings\All Users\Dane aplikacji\LogMeIn C:\Documents and Settings\All Users\Dane aplikacji\Logs C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\Nexon C:\Documents and Settings\All Users\Dane aplikacji\NexonEU C:\Documents and Settings\All Users\Dane aplikacji\Overwolf C:\Documents and Settings\All Users\Dane aplikacji\Panda Security C:\Documents and Settings\All Users\Dane aplikacji\PriceMeterLiveUpdate C:\Documents and Settings\All Users\Dane aplikacji\Screaming Bee C:\Documents and Settings\All Users\Dane aplikacji\SearchNewTab C:\Documents and Settings\All Users\Dane aplikacji\Solidshield C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\surf And keep C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\All Users\Dane aplikacji\YoutubeAdblocker C:\Documents and Settings\All Users\Dane aplikacji\{3C5CBD7B-3D1D-411E-96C2-513FFCA84D2D} C:\Documents and Settings\All Users\Dane aplikacji\{CED89F1A-945F-46EC-B23C-5EAF6D2DB12A} C:\Documents and Settings\Dawid\Dane aplikacji\24574 C:\Documents and Settings\Dawid\Dane aplikacji\aartemis C:\Documents and Settings\Dawid\Dane aplikacji\ap_logs C:\Documents and Settings\Dawid\Dane aplikacji\Apple Computer C:\Documents and Settings\Dawid\Dane aplikacji\Audacity C:\Documents and Settings\Dawid\Dane aplikacji\BESTplayer C:\Documents and Settings\Dawid\Dane aplikacji\Garena C:\Documents and Settings\Dawid\Dane aplikacji\GarenaPlus C:\Documents and Settings\Dawid\Dane aplikacji\GetPrivate C:\Documents and Settings\Dawid\Dane aplikacji\Metin2-Balmora C:\Documents and Settings\Dawid\Dane aplikacji\NapiProjekt C:\Documents and Settings\Dawid\Dane aplikacji\Panda Security C:\Documents and Settings\Dawid\Dane aplikacji\PriceMeterUpdater C:\Documents and Settings\Dawid\Dane aplikacji\Protect C:\Documents and Settings\Dawid\Dane aplikacji\QBSHXT C:\Documents and Settings\Dawid\Dane aplikacji\QBSHXT.exe C:\Documents and Settings\Dawid\Dane aplikacji\Screaming Bee C:\Documents and Settings\Dawid\Dane aplikacji\SpeedBit C:\Documents and Settings\Dawid\Dane aplikacji\Sun C:\Documents and Settings\Dawid\Dane aplikacji\SwvUpdater C:\Documents and Settings\Dawid\Dane aplikacji\Tibia C:\Documents and Settings\Dawid\Dane aplikacji\TweakNow RegCleaner C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\AlienShooter2 Reloaded C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\CrashRpt C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Garena C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\GG C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\globalUpdate C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\iWebar C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\LogMeIn C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\LogMeIn Hamachi C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Object Browser C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\OpenFM C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Overwolf C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeterLiveUpdate C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Purplizer C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\SearchProtect C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\AVS4YOU C:\Program Files\BearShare Applications C:\Program Files\Bench C:\Program Files\BuyyNsavEE C:\Program Files\Deal Keeper C:\Program Files\FLV Video Player C:\Program Files\Garena Plus C:\Program Files\GOG.com C:\Program Files\KONAMI C:\Program Files\NapiProjekt C:\Program Files\Panda Security C:\Program Files\Pando Networks C:\Program Files\predm C:\Program Files\PriceMeterLiveUpdate C:\Program Files\Reimageplus.com C:\Program Files\SearchNewTab C:\Program Files\Sk.Enabler C:\Program Files\STab C:\Program Files\VideoLAN C:\Program Files\Warcraft III - The Frozen Throne C:\Program Files\webget C:\Program Files\WebSearch C:\Program Files\WebSpades Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. Przedstaw go. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie używaj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner.

Problemem nie jest infekcja. Obciążenie systemu i długi start = najbardziej podejrzany McAfee, jest bardzo rozbudowany (mnóstwo usług i sterowników się uruchamia). Proponuję więc sprawdzić jak działa system po jego deinstalacji. Owszem, problem adware także tu jest i ComboFix usuwał (niedokładnie) określone obiekty, ale to nie jest przyczyna problemów. Użycie tu ComboFix nie było dobrym pomysłem z kilku względów: - Adware nie zostało poprawnie odinstalowane. Skutki: na liście zainstalowanych obecnie "wiszą" wpisy brutalnie usuniętych przez ComboFix obiektów. - Do czyszczenia adware są lepsze bardziej specjalizowane narzędzia niż ComboFix. Działania wstępne: 1. Przez Panel sterowania odinstaluj: Adobe Reader X (10.1.13) MUI, Java SE Development Kit 7 Update 17 (64-bit), Java SE Development Kit 7 Update 51 (64-bit), JavaFX 2.1.1, McAfee SecurityCenter, McAfee SiteAdvisor, MyFreeCodec. Proponuję też dokładniej przejrzeć listę i pozbyć się nieużywanych programów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1620440060-2774587105-184453412-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKU\S-1-5-21-1620440060-2774587105-184453412-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?affID=119816&tt=gc_&babsrc=HP_ss&mntrId=BA60685D437CC965 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=BA60685D437CC965 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {49D52718-9182-4735-931A-7D93EBD1299F} URL = SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.webisawsome.info/?l=1&q={searchTerms}&pid=1249&r=2014/02/22&hid=15417204159028078963&lg=EN&cc=PL&unqvl=49 SearchScopes: HKU\S-1-5-21-1620440060-2774587105-184453412-1000 -> {F2D3BE99-5CF2-4FD3-870A-B6017BE01715} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=C1F47A9D-8F8A-40C7-AB89-A0C729906138&apn_sauid=FAC3B708-6AA4-4B35-99D2-3A0447F8B235 BHO-x32: WoebsaaVe -> {0EF9B24D-1522-0100-E9FB-4FDB3BEF8613} -> No File BHO-x32: weBsavE -> {8B6F2AD6-E5D7-0997-C979-F2FC3821207E} -> No File BHO-x32: SNT -> {EB582856-4086-A3BD-4351-33E83F8C323B} -> No File BHO-x32: YoutubeAdblocker -> {F4576C82-5942-164A-3ACD-1D3B75137B32} -> No File Task: {3A992151-5590-4CC3-8A8A-7F11A4B2792E} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect Task: {4925CDC1-6FA9-4857-B83E-92410C0D5AFB} - System32\Tasks\{47BD6A46-6487-44A3-A6CC-AAB40C590D55} => pcalua.exe -a "C:\Users\RT2\Desktop\PND32GB\PEN Data\Wirus POLICJA\ComboFix.exe" -d "C:\Users\RT2\Desktop\PND32GB\PEN Data\Wirus POLICJA" Task: {6AE9079E-9886-487D-A166-64860266E77F} - System32\Tasks\{55721E0C-E21A-4835-B398-E22E69295D24} => pcalua.exe -a "C:\Users\RT2\Desktop\TL-WR740N_V4_Easy Setup Assistant\wr741n\EasySetupAssistant.exe" -d "C:\Users\RT2\Desktop\TL-WR740N_V4_Easy Setup Assistant\wr741n" Task: {7D0E666C-6F78-4CEB-8CDA-F909385057BD} - System32\Tasks\{1D9B899B-E750-4B62-ADED-B319C3D259DD} => pcalua.exe -a C:\Users\RT2\AppData\Local\Temp\RarSFX0\Instaluj_SAM_st.exe Task: {AF8408A4-11F5-4582-813A-B77F785FA21B} - System32\Tasks\{1ABC53D5-9892-4DB9-B038-8230574ABF5B} => pcalua.exe -a D:\Apps\Nokia_PC_Suite_ALL.exe -d D:\Apps Task: {B3113BF6-03D1-4A8A-B4C3-77CB15C61950} - System32\Tasks\{CCC7E120-C0F4-4C06-9F63-9A34E6E2A863} => pcalua.exe -a C:\Users\RT2\Desktop\Chipset_Intel_W7_X03_A01_Setup-8JF3Y_ZPE.exe -d C:\Users\RT2\Desktop Task: {BD249304-E26C-4216-AB14-C787DD09B87F} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 0203001424724882mcinstcleanup; C:\Windows\TEMP\020300~1.EXE -cleanup -nolog [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 iscFlash; \??\C:\Users\RT2\AppData\Local\Temp\7zS4182.tmp\iscflashx64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Users\Administrator C:\Users\Gość C:\users\HomeGroupUser$ C:\Users\RT2\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\RT2\AppData\Local\Comodo C:\Users\RT2\AppData\Local\Google\Chrome SxS C:\Users\RT2\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\RT2\AppData\Local\Mozilla C:\Users\RT2\AppData\Local\Torch C:\Users\RT2\AppData\Roaming\Mozilla C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Comodo C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Google C:\Users\Mcx1-RT2-KOMPUTER\AppData\Local\Torch C:\Windows\system32\Drivers\PROCEXP90.SYS C:\Windows\SysWOW64\CF22844.exe C:\Windows\SysWOW64\cmd.execf CMD: for /d %f in (C:\Users\RT2\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeCS6ServiceManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoforFilesInstaller Starter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{476D78C4-1DB0-2D88-7FCC-AA6559F59A8D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C670DCAE-E392-AA32-6F42-143C7FC4BDFD} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CF830981-8F31-C561-C7A0-FE2CE1878B40} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji pakietu McAfee jest jakaś poprawa w działaniu systemu.

sylwia18, zakładanie nowego tematu było zbędne, należało kontynuować w rozpoczętym pierwotnie uzupełniając po prostu wymaganew dane. Tematy skleiłam. Nadal brak obowiązkowego raportu z GMER - widzę, że pobrałaś, czy był jakiś problem z jego uruchomieniem? Jest tu kupa adware, stąd przynajmniej część problemów. Do wdrożenia następujące operacje: 1. Przez Panel sterowania odinstaluj adware key-find uninstall, Round World oraz stare wersje i zbędnik Adobe Flash Player ActiveX, Adobe Reader 8.1.0, HP Deskjet 2050 J510 series Badanie ulepszeń produktu, Java 7 Update 51. 2. W pasku adresów eksploratora wklej C:\ProgramData i ENTER. Ze środka przez SHIFT+DEL (omija Kosz) skasuj foldery mające "krzaczkowate / chińskie" nazwy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {31c21995-b861-4864-ab50-4a53fbca73d4}Gt; C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gt.sys [55824 2015-02-04] (StdLib) R1 {df8eec40-f909-439c-9ffe-3fee212f71b9}Gt; C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gt.sys [55824 2015-02-01] (StdLib) R1 {f545e6fb-3307-427c-99c9-d8fcad9fa830}Gt; C:\Windows\System32\drivers\{f545e6fb-3307-427c-99c9-d8fcad9fa830}Gt.sys [55824 2015-02-24] (StdLib) R2 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) R2 Update Round World; C:\Program Files\Round World\updateRoundWorld.exe [401136 2015-02-25] () R2 Util Round World; C:\Program Files\Round World\bin\utilRoundWorld.exe [401136 2015-02-25] () HKLM\...\Run: [Tutorials] => [X] HKLM\...\Run: [tuto4pc_pl_6] => [X] HKU\S-1-5-19\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter HKU\S-1-5-20\...\Run: [WindowsWelcomeCenter] => rundll32.exe oobefldr.dll,ShowWelcomeCenter AppInit_DLLs: c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll => c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll File Not Found Task: {6C937017-998B-45EC-847B-1D9A9A12D409} - System32\Tasks\BitGuard => Sc.exe start BitGuard Task: {9218587D-3400-4E35-841F-136C269C0CDF} - System32\Tasks\{7F53928C-B69B-45FF-8DF6-9CEE0F87D78E} => pcalua.exe -a E:\DRV\CardR\setup.exe -d E:\ Task: {DBAC1A80-BA96-40DA-ADF0-979B012DB52F} - System32\Tasks\HPCustParticipation HP Deskjet 2050 J510 series => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe [2010-02-02] (Hewlett-Packard Co.) Task: {DBD82ED0-D04E-45F3-91A7-7439D07385DF} - System32\Tasks\RunAsStdUser => C:\Program Files\Desk 365\desk365.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=46350016EA531BD8&affID=123627&tt=230713_18220&tsp=4953 HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1268398819-302933885-4018433790-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?type=ds&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&q={searchTerms} SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> 041f715e-11bc-4d78-a337-6288dda3b3df URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1268398819-302933885-4018433790-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = http://www.key-find.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267&ts=1424860715&type=default&q={searchTerms} BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\XTab\SupTab.dll (Thinknice Co. Limited) BHO: Round World 1.0.0.7 -> {78549bde-b964-4d2a-b7b1-c4ac15ddff64} -> C:\Program Files\Round World\RoundWorldbho.dll (Round World) CHR HomePage: Default -> hxxp://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267 CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1424860599&from=cor&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE408JYJ267YJ267" CHR HKLM\...\Chrome\Extension: [enhljpgmfjednccepebhodcpbdbdpjch] - C:\Windows\System32\jmdp\nte.crx [Not Found] CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - C:\Users\sylwia\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2013-01-23] CHR HKLM\...\Chrome\Extension: [nmoonbaejmnicidlabbfjlhmifkglmmf] - C:\ProgramData\ares\Premium.crx [Not Found] C:\Program Files\Desk 365 C:\Program Files\Mozilla Firefox C:\Program Files\Opera C:\Program Files\XTab C:\Program Files\Round World C:\ProgramData\IHProtectUpDate C:\Users\sylwia\AppData\Local\edsinstaller.txt-20121204.log C:\Users\sylwia\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\sylwia\AppData\Local\Mozilla C:\Users\sylwia\AppData\Local\Opera Software C:\Users\sylwia\AppData\Roaming\BabSolution C:\Users\sylwia\AppData\Roaming\Babylon C:\Users\sylwia\AppData\Roaming\Desk 365 C:\Users\sylwia\AppData\Roaming\key-find C:\Users\sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\22apple.lnk C:\Users\sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\sylwia\AppData\Roaming\Mozilla C:\Users\sylwia\AppData\Roaming\Opera Software C:\Users\sylwia\AppData\Roaming\PerformerSoft C:\Users\sylwia\AppData\Roaming\Systweak C:\Users\sylwia\AppData\Roaming\ZiggyTV C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\Adobe Reader Speed Launch.lnk.CommonStartup C:\Windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup C:\Windows\System32\jmdp C:\Windows\System32\drivers\{31c21995-b861-4864-ab50-4a53fbca73d4}Gt.sys C:\Windows\System32\drivers\{df8eec40-f909-439c-9ffe-3fee212f71b9}Gt.sys C:\Windows\System32\drivers\{f545e6fb-3307-427c-99c9-d8fcad9fa830}Gt.sys Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: sc config WinDefend start= demand CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\sylwia\AppData\Local CMD: dir /a C:\Users\sylwia\AppData\LocalLow CMD: dir /a C:\Users\sylwia\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany.

To nie jest pełny raport fixlog.txt, tylko jego końcowa częć po restarcie. FRST nie był w stanie usunąć własnego folderu "FRST-OlderVersion" i kończył po restarcie. Nie zauważyłam, że stamtąd uruchamiałeś FRST - to był błąd, bieżący FRST jest w innej ścieżce, starsza wersja jest przesuwana do tego nieszczęsnego folderu. W każdym razie to już nie gra roli, ta pierwsza część skryptu raczej się wykonała. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tak, sprawa jest już w pełni rozwiązana. Na koniec: 1. Dokasuj ten klucz starej Java 6. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj: HKEY_COCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216018FF} 2. Usuń pobrany FRST i inne narzędzia. Zastosuj też DelFix, wyczyść foldery Przywracania systemu oraz porównaj co wymaga aktualizacji: KLIK. 3. Nie wiem do końca co to za typ infekcji i co ona miała planowane. Na wszelki wypadek zmień wszystkie hasła logowania w serwisach (bank, poczta, serwisy społecznościowe, etc).

Tak, czyszczenie punktów się wykonuje w sytuacji gdy prowadzono jakieś modyfikacje obejmujące strefy nagrywane w punktach - tu np. Harmonogram zadań. Fix wykonany, skasuj pobrany FRST, następnie znajome kroki końcowe, tzn. DelFix i czyszczenie folderów Przywracania systemu. To tyle z mojej strony.

Fix FRST nie został wykonany do końca, zaciął się i nie przeszedł dalej. Poprawki: 1. Kolejne deinstalacje: - Zapomniałam napisać, odinstaluj też super stary Adobe Flash Player 10 ActiveX. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis ArcaBit Prerequistes > Dalej. 2. Włącz Przywracanie systemu, bo jest aktualnie wyłączone. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387389562&from=cor&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe http://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 OPR Extension: (GoHD) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke [2014-09-05] OPR Extension: (No Name) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\gkookgoofbomddkomagahpnpdcnebnad [2014-09-30] Task: C:\WINDOWS\Tasks\QBSHXT.job => C:\Documents and Settings\Dawid\Dane aplikacji\QBSHXT.exe CMD: del /q /s C:\HELP_DECRYPT.* C:\Documents and Settings\All Users\Dane aplikacji\{368b4672-9c59-d15d-368b-b46729c519ca} C:\Documents and Settings\All Users\Dane aplikacji\{d00e78e3-431d-94b0-d00e-e78e3431e38d} C:\Documents and Settings\All Users\Dane aplikacji\6e6d0694000012a9 C:\Documents and Settings\All Users\Dane aplikacji\e6ca635800005e96 C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3F1368BB-2CAB-437B-955B-0ABDD7D77663} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{4681CF98-DA5F-485A-81FF-A001319C2A9C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{64FD8434-9478-42BA-853F-915FEDC87106} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9AB9BD24-02AB-4FFA-A50C-D6C925B25169} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\All Users\Menu Start\Programy\DangeSecond C:\Documents and Settings\All Users\Menu Start\Programy\GAMESDESKTOP C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome C:\Documents and Settings\All Users\Menu Start\Programy\KONAMI C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Games C:\Documents and Settings\All Users\Menu Start\Programy\PESEdit.com 2013 Patch C:\Documents and Settings\All Users\Menu Start\Programy\Ubisoft C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk C:\Documents and Settings\Dawid\TempWmicBatchFile.bat C:\Documents and Settings\Dawid\Dane aplikacji\.lockfile C:\Documents and Settings\Dawid\Dane aplikacji\aps.uninstall.scan.results C:\Documents and Settings\Dawid\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\NGSFIZU.exe C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA.exe C:\Documents and Settings\Dawid\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\AnyProtectEx C:\Documents and Settings\Dawid\Dane aplikacji\AVS4YOU C:\Documents and Settings\Dawid\Dane aplikacji\GG C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\PlayTasks C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Dane aplikacji\newnext.me C:\Documents and Settings\Dawid\Dane aplikacji\omiga-plus C:\Documents and Settings\Dawid\Dane aplikacji\onlysearch C:\Documents and Settings\Dawid\Dane aplikacji\OpenFM C:\Documents and Settings\Dawid\Dane aplikacji\OpenOffice.org2 C:\Documents and Settings\Dawid\Dane aplikacji\systweak C:\Documents and Settings\Dawid\Dane aplikacji\webssearches C:\Documents and Settings\Dawid\Menu Start\Programy\BitLord C:\Documents and Settings\Dawid\SendTo\Android (ALLPlayer Pilot).lnk C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\*.tmp C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\proxy.log C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Doctor_PC C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\gmsd_pl_53 C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\SmartWeb C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\LogMeIn Hamachi C:\Program Files\7208fe53-6a12-4f5c-8449-0179fe1ab100 C:\Program Files\AdvanceElite C:\Program Files\AnyProtectEx C:\Program Files\Cyti Web C:\Program Files\ClickMovie1-Downloaderv10 C:\Program Files\ChromeEnhancer C:\Program Files\Doctor PC C:\Program Files\doctorpclab.com C:\Program Files\globalUpdate C:\Program Files\GetPrivate C:\Program Files\GoHD C:\Program Files\Google C:\Program Files\gmsd_pl_53 C:\Program Files\Mozilla Firefox C:\Program Files\Reimage C:\Program Files\SavePass 1.1 C:\Program Files\SupTab C:\Program Files\TheTorntv V10 C:\Program Files\Common Files\System\SysMenu.dll C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\TornTvDownloader.lnkStartup C:\WINDOWS\system32\OptimizerMonitor.ini C:\WINDOWS\system32\OptimizerMonitorOff.ini C:\WINDOWS\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}t.sys C:\WINDOWS\System32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}t.sys C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys C:\WINDOWS\System32\drivers\{9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys C:\WINDOWS\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}t.sys C:\WINDOWS\System32\drivers\{e6ca9971-30ed-444a-9489-82fca50b2062}t.sys C:\WINDOWS\System32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t.sys Hosts: Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GoHD /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Dawid^Menu Start^Programy^Autostart^TornTvDownloader.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_185" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GarenaPlus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Only-search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceMeterW" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upfst_pl_185.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Documents and Settings\Administrator\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Program Files" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Log z GMER robiłeś w złym środowisku, przy czynnym emulatorze SPTD: KLIK. R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [477240 2012-06-13] (Duplex Secure Ltd.) Jedyne co widać w raporcie, to sterownik adware grupy Sambreel i kilka drobnych adresów adware w IE, a także multi-instancje iexplore.exe (to podejrzane, o ile nie był uruchomiony ręcznie). Sterownik adware chyba nie jest przyczyną samoistnego otwierania stron we wszystkich przeglądarkach. Objawy brzmią nieco jak infekcja DNS routera, choć adres pobierany z routera nie wykazuje w logu szkodników (widać tylko IP routera), a Ty podkreślasz, że inne komputery korzystające z tej samej sieci nie mają problemu. Jaki model TP-Link jest tu na chodzie? Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 Na razie usuń widoczne obiekty adware i zobaczymy co z tego wyniknie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}t; C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys [55232 2014-04-24] (StdLib) HKU\S-1-5-21-861567501-484763869-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=HP_ss&mntrId=ccddf50d000000000000001cbf4a0100 HKU\S-1-5-21-861567501-484763869-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://search.babylon.com/?affID=110819&tt=060612_5_&babsrc=NT_ss&mntrId=ccddf50d000000000000001cbf4a0100" SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=ccddf50d000000000000001cbf4a0100 SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_5_&babsrc=SP_ss&mntrId=ccddf50d000000000000001cbf4a0100 SearchScopes: HKU\S-1-5-21-861567501-484763869-682003330-1004 -> {24979725-5596-4B9B-B829-4B2F8D0D21FC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=EE28BC37-4157-49A6-ADC4-592A5CA9F98B&apn_sauid=48EFEF88-DC5F-48CE-9F68-1BA113641AA0 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-861567501-484763869-682003330-1004_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\DOCUME~1\Borowicz\Pulpit\BESTPL~1.EXE No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81548713.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81548713.sys => ""="Driver" C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab C:\Documents and Settings\Borowicz\Dane aplikacji\Babylon C:\Documents and Settings\Borowicz\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Borowicz\Pulpit\Nieużywane ikony\Adobe Reader X.lnk C:\Documents and Settings\Borowicz\Pulpit\Nieużywane ikony\Bullzip PDF Printer.lnk C:\Documents and Settings\Borowicz\Ustawienia lokalne\Dane aplikacji\APN C:\Program Files\Common Files\Java(2) C:\Program Files\Kaspersky Lab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}t.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER (po usunięciu sterownika SPTD + restart systemu). Dołącz też plik fixlog.txt oraz wszystkie logi z folderu C:\AdwCleaner (był używany, nie uruchamiaj ponownie, chodzi o poprzednie wyniki). Wypowiedz się czy są jakiekolwiek zmiany.

Główny podejrzany: COMODO Internet Security. By się o tym przekonać, testowa deinstalacja, gdyż tylko to gwarantuje ustanie wszystkich czynności, wyłączanie w opcjach niestety nie. Druga sprawa to fatalny stan aktualizacji systemu - brak SP1, IE11 i rezty łat: Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome) Ukryty folder VTRoot jest folderem Comodo związanym z funkcją piaskownicy. Trzyma dane wirtualizowane, zostanie opróżniony po zresetowaniu piaskownicy. 2015-02-06 16:14 - 2015-02-11 15:03 - 00000000 ___HD () C:\VTRoot Samoistne przestawienie opcji ukrywania obiektów to już inna sprawa - prawdopodobnie zrobił to Brontok (patrz dalej). Możliwe, że to także jest związane z COMODO. Były na forum dwa tematy związane z pokazywaniem dziwnej zniekształconej ikony: KLIK, KLIK. Nie zaprezentowałeś wyników, by można było ocenić stopień ważności i czy to aby nie fałszywe alarmy. Brak oznak czynnej infekcji, ale owszem są ślady że ona była, a konkretnie są tu źle doczyszczone obiekty robaka Brontok (plik HOSTS ze śmieciami HTML i kilka innych drobnych wpisów). Widać też szczątki adware. Niemniej żaden z tych wpisów nie jest odpowiedzialny za zgłaszane bieżące problemy. Drobne działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędnik COMODO: Adobe Flash Player ActiveX, Java 7 Update 71 (64-bit), GeekBuddy. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj niepożądane rozszerzenie Foxtab Speed Dial. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" Task: {375F213B-2231-40EB-82C7-57CF8C981A88} - System32\Tasks\{80FF1741-8C57-4297-A63E-A286FF66ADEC} => C:\Users\Bartek\Downloads\battlelog-web-plugins_2.6.2_154.exe Task: {3B6238C6-9138-4025-B6BE-B24C157204AF} - System32\Tasks\{08F88807-8246-4C45-9511-EF6370C72ADF} => C:\Users\Bartek\Downloads\battlelog-web-plugins_2.6.2_154.exe HKU\S-1-5-21-1318935594-1313143014-225757962-1000\...\Policies\system: [DisableCMD] 0 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://home.sweetim.com/?crg=3.1010000.10011 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - iexplore.exe S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] U3 kwrdipob; \??\C:\Users\Bartek\AppData\Local\Temp\kwrdipob.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Download Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\This War of Mine C:\Users\Bartek\AppData\Local\Bron.tok.A15.em.bin C:\Users\Bartek\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Bartek\AppData\Local\ListHost15.txt C:\Users\Bartek\AppData\Local\Update.15.Bron.Tok.bin C:\Users\Bartek\AppData\Local\CrashRpt C:\Windows\system32\Drivers\etc\hosts.ccebak CMD: for /d %f in (C:\Users\Bartek\AppData\Local\*Bron*) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Problemów jest tu sporo: infekcja szyfrująca dane oraz adware, adware przekonwertowao także przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja przeglądarki. Wstępne działania: 1. Przez Dodaj/Usuń programy odinstaluj adware i poszkodowaną przeglądarkę: Bundled software uninstaller, GamesDesktop 008.53, GoHD, Google Chrome, omiga-plus uninstall, webssearches uninstall. Przed deinstalacją Chrome możesz wyeksportować zakładki, przy deinstalacji zaznacz Usuń także dane przeglądarki, a resztę Google doczyści punkt 2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {507a9b68-2b48-4a22-b662-e674fb6a16f7}t; C:\WINDOWS\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}t.sys [55816 2014-12-02] (StdLib) R1 {5178f938-0bd5-47c1-8242-71f6e3e72925}t; C:\WINDOWS\System32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}t.sys [55232 2014-07-09] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}t; C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys [55232 2014-07-17] (StdLib) R1 {9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt; C:\WINDOWS\System32\drivers\{9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt.sys [55832 2015-02-20] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys [55224 2014-04-28] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}t; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys [55224 2014-04-28] (StdLib) R1 {df47b99d-26f5-45f4-85c5-97b4da365f21}t; C:\WINDOWS\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}t.sys [55816 2014-12-01] (StdLib) R1 {e6ca9971-30ed-444a-9489-82fca50b2062}t; C:\WINDOWS\System32\drivers\{e6ca9971-30ed-444a-9489-82fca50b2062}t.sys [55048 2014-09-02] (StdLib) R1 {e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t; C:\WINDOWS\System32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t.sys [55872 2015-02-20] (StdLib) R2 ChromeEnhancer; C:\Program Files\ChromeEnhancer\ChromeEnhancer.exe [47104 2015-01-30] () [File not signed] S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-20] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-20] (globalUpdate) [File not signed] R2 IePluginServices; C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [715656 2014-09-02] (Cherished Technololgy LIMITED) R2 IHProtect Service; C:\Program Files\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) S3 cpuz134; \??\C:\DOCUME~1\Dawid\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 GGSAFERDriver; \??\C:\Program Files\Garena Plus\Room\safedrv.sys [X] S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X] S3 SPBIUpdd; \??\C:\Program Files\Common Files\ShopperPro\spbiw.sys [X] S1 ttnfd; system32\drivers\ttnfd.sys [X] HKLM\...\Run: [gmsd_pl_53] => C:\Program Files\gmsd_pl_53\gmsd_pl_53.exe [3984040 2015-02-19] () HKLM\...\Run: [upgmsd_pl_53.exe] => C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\gmsd_pl_53\upgmsd_pl_53.exe [3355816 2015-02-19] () HKU\S-1-5-21-606747145-1592454029-1417001333-1003\...\Run: [NextLive] => C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Dawid\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l Startup: C:\Documents and Settings\Dawid\Menu Start\Programy\Autostart\OPTISetup.lnk Startup: C:\Documents and Settings\Dawid\Menu Start\Programy\Autostart\superpc_soft_partner.lnk Task: C:\WINDOWS\Tasks\3402a321-a57a-4603-89d0-0b6eba94e2c0-1.job => C:\Program Files\ClickMovie1-Downloaderv10\ClickMovie1-Downloaderv10-codedownloader.exe Task: C:\WINDOWS\Tasks\3402a321-a57a-4603-89d0-0b6eba94e2c0-4.job => C:\Program Files\ClickMovie1-Downloaderv10\3402a321-a57a-4603-89d0-0b6eba94e2c0-4.exe Task: C:\WINDOWS\Tasks\3402a321-a57a-4603-89d0-0b6eba94e2c0-5.job => C:\Program Files\ClickMovie1-Downloaderv10\3402a321-a57a-4603-89d0-0b6eba94e2c0-5.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-1.job => C:\Program Files\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-11.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-11.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-2.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-2.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-3.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-3.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-4.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-4.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-5.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-5.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-6.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-6.exe Task: C:\WINDOWS\Tasks\40efd1ec-0f20-4c74-9133-c99f223e0388-7.job => C:\Program Files\TheTorntv V10\40efd1ec-0f20-4c74-9133-c99f223e0388-7.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-1.job => C:\Program Files\GoHD\GoHD-codedownloader.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-11.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-11.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-2.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-2.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-4.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-4.exe Task: C:\WINDOWS\Tasks\69037c5f-2c0a-49fe-be01-5222fdddafcf-5.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-5.exe Task: C:\WINDOWS\Tasks\7b27892f-9c0e-4d94-ab4b-524d430a59b1.job => C:\Program Files\TheTorntv V10\7b27892f-9c0e-4d94-ab4b-524d430a59b1.exe/agentregpath='TheTorntv V10' /appid=63311 /srcid='001823' /subid='0' /zdata='0' /bic=33CCE80B126E46378844B8A609F35A71IE /verifier=0657a018fc4853a0450dcef5eb9451d2 /installerversion=1_35_09_16 /installationtime=1410973725 /statsdomain=http://stats.newclientonlinestorage.com /errorsdomain=http://errors.newclientonlinestorage.com /extensionname='Information' /torpedoiesleeps=1000 /torpedoieplugins=93-0,102-0,104-0,184-0 /monetizationdomain=http://logs.newclientonlinestorage.com Task: C:\WINDOWS\Tasks\9325da68-8615-4364-b2bd-8eb78d86a22e.job => C:\Program Files\TheTorntv V10\9325da68-8615-4364-b2bd-8eb78d86a22e.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-6.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-6.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-7.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-1-7.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-6.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-6.exe Task: C:\WINDOWS\Tasks\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-7.job => C:\Program Files\SavePass 1.1\a972f7c5-cd22-40e6-bf2e-f10faa9624f1-7.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Dawid\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\DoctorPC_Popup.job => C:\Program Files\Doctor PC\Splash.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GPUP.job => C:\Program Files\GetPrivate\gpup.exe Task: C:\WINDOWS\Tasks\QUZOPZA.job => C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA.exe Task: C:\WINDOWS\Tasks\ReimageUpdater.job => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: C:\WINDOWS\Tasks\SMupdate1.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\temp_69037c5f-2c0a-49fe-be01-5222fdddafcf-2.job => C:\Program Files\GoHD\69037c5f-2c0a-49fe-be01-5222fdddafcf-2.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} HKU\S-1-5-21-606747145-1592454029-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKU\S-1-5-21-606747145-1592454029-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://www.only-search.com/?babsrc=NT_kms&affID=129300&tt=&mntrid=24A46C626D0EA94A&tsp=5386" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchsunmy.info/?l=1&q={searchTerms}&pid=377&r=2013/12/24&hid=8686324548370343708&lg=EN&cc=PL&unqvl=45 SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {017B1142-A96A-4461-B10F-2974A51DA370} URL = http://www.only-search.com/?babsrc=SP_kms&affID=129300&tt=&mntrid=24A46C626D0EA94A&tsp=5386&q={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.only-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=24A46C626D0EA94A&affID=129300&tsp=5386 SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620&q={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-1592454029-1417001333-1003 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchsunmy.info/?l=1&q={searchTerms}&pid=377&r=2013/12/24&hid=8686324548370343708&lg=EN&cc=PL&unqvl=45 BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 ShortcutWithArgument: C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387389562&from=cor&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 StartMenuInternet: (HKLM) OperaStable - C:\Program Files\Opera\Launcher.exe http://isearch.omiga-plus.com/?type=sc&ts=1422018086&from=face&uid=WDCXWD800JB-00JJC0_WD-WCAM9F78462084620 OPR Extension: (GoHD) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke [2014-09-05] OPR Extension: (No Name) - C:\Documents and Settings\Dawid\Dane aplikacji\Opera Software\Opera Stable\Extensions\gkookgoofbomddkomagahpnpdcnebnad [2014-09-30] CMD: del /q /s C:\HELP_DECRYPT.* C:\Documents and Settings\All Users\Dane aplikacji\{368b4672-9c59-d15d-368b-b46729c519ca} C:\Documents and Settings\All Users\Dane aplikacji\{d00e78e3-431d-94b0-d00e-e78e3431e38d} C:\Documents and Settings\All Users\Dane aplikacji\6e6d0694000012a9 C:\Documents and Settings\All Users\Dane aplikacji\e6ca635800005e96 C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3F1368BB-2CAB-437B-955B-0ABDD7D77663} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{4681CF98-DA5F-485A-81FF-A001319C2A9C} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{64FD8434-9478-42BA-853F-915FEDC87106} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9AB9BD24-02AB-4FFA-A50C-D6C925B25169} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\All Users\Menu Start\Programy\DangeSecond C:\Documents and Settings\All Users\Menu Start\Programy\GAMESDESKTOP C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome C:\Documents and Settings\All Users\Menu Start\Programy\KONAMI C:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Games C:\Documents and Settings\All Users\Menu Start\Programy\PESEdit.com 2013 Patch C:\Documents and Settings\All Users\Menu Start\Programy\Ubisoft C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk C:\Documents and Settings\Dawid\TempWmicBatchFile.bat C:\Documents and Settings\Dawid\Dane aplikacji\.lockfile C:\Documents and Settings\Dawid\Dane aplikacji\aps.uninstall.scan.results C:\Documents and Settings\Dawid\Dane aplikacji\Explorer.EXE_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\NGSFIZU.exe C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA C:\Documents and Settings\Dawid\Dane aplikacji\QUZOPZA.exe C:\Documents and Settings\Dawid\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\Dawid\Dane aplikacji\AnyProtectEx C:\Documents and Settings\Dawid\Dane aplikacji\AVS4YOU C:\Documents and Settings\Dawid\Dane aplikacji\GG C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\PlayTasks C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Windows\GameExplorer\SupportTasks C:\Documents and Settings\Dawid\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Dane aplikacji\newnext.me C:\Documents and Settings\Dawid\Dane aplikacji\omiga-plus C:\Documents and Settings\Dawid\Dane aplikacji\onlysearch C:\Documents and Settings\Dawid\Dane aplikacji\OpenFM C:\Documents and Settings\Dawid\Dane aplikacji\OpenOffice.org2 C:\Documents and Settings\Dawid\Dane aplikacji\systweak C:\Documents and Settings\Dawid\Dane aplikacji\webssearches C:\Documents and Settings\Dawid\Menu Start\Programy\BitLord C:\Documents and Settings\Dawid\SendTo\Android (ALLPlayer Pilot).lnk C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\*.tmp C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\proxy.log C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Doctor_PC C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\gmsd_pl_53 C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\PriceMeter C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\SmartWeb C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Dawid\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\LogMeIn Hamachi C:\Program Files\7208fe53-6a12-4f5c-8449-0179fe1ab100 C:\Program Files\AdvanceElite C:\Program Files\AnyProtectEx C:\Program Files\Cyti Web C:\Program Files\ClickMovie1-Downloaderv10 C:\Program Files\ChromeEnhancer C:\Program Files\Doctor PC C:\Program Files\doctorpclab.com C:\Program Files\globalUpdate C:\Program Files\GetPrivate C:\Program Files\GoHD C:\Program Files\Google C:\Program Files\gmsd_pl_53 C:\Program Files\Mozilla Firefox C:\Program Files\Reimage C:\Program Files\SavePass 1.1 C:\Program Files\SupTab C:\Program Files\TheTorntv V10 C:\Program Files\Common Files\System\SysMenu.dll C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\TornTvDownloader.lnkStartup C:\WINDOWS\system32\OptimizerMonitor.ini C:\WINDOWS\system32\OptimizerMonitorOff.ini C:\WINDOWS\System32\drivers\{507a9b68-2b48-4a22-b662-e674fb6a16f7}t.sys C:\WINDOWS\System32\drivers\{5178f938-0bd5-47c1-8242-71f6e3e72925}t.sys C:\WINDOWS\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}t.sys C:\WINDOWS\System32\drivers\{9652c7a7-7363-4f0e-bf03-3b32b55ea241}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys C:\WINDOWS\System32\drivers\{df47b99d-26f5-45f4-85c5-97b4da365f21}t.sys C:\WINDOWS\System32\drivers\{e6ca9971-30ed-444a-9489-82fca50b2062}t.sys C:\WINDOWS\System32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}t.sys Hosts: Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Dawid^Menu Start^Programy^Autostart^TornTvDownloader.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 6" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_185" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GarenaPlus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GB_UPDATE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Only-search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceMeterW" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDP" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TornTv Downloader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upfst_pl_185.exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Documents and Settings\Administrator\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\All Users\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Dawid\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Program Files" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Operze w rozszerzeniach odinstaluj GoHD. Możliwe że widać tam coś więcej. Jeśli tak, to odinstaluj wszystko z wyjątkiem pozycji "Adblock Plus". 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Fix wykonany, czy na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu. A tak, niestety to nie pierwszy przykład, że kopiowanie za pomocą Internet Explorer powoduje sklejenie wszystkiego. Problem nie dotyczy tylko starej wersji IE8, na nowszych też to występowało na forum. Java 8 nie jest oficjalnie wspierana, ale działa na XP. Niemniej asekuracyjnie możesz zainstalować ze strony Oracle (tam jest nadal linkowana starsza seria) ostatnią z wersji Java 7 - czyli Java SE 7u75/76. Java 7 i tak jest wycofywana z obiegu i wkrótce wszyscy będą migrowani na Java 8 - nie wiem jak to się ma do komunikatów na temat braku oficjalnego supportu dla XP.

Mam wszystkie pliki. Pobierz paczkę "Pliki.zip": KLIK. 1. Plik msi.dll umieść w utworzonym tymczasowym folderze C:\TMP. W Notatniku przygotuj plik fixlist.txt o treści: CMD: copy /y C:\TMP\msi.dll C:\Windows\winsxs\wow64_microsoft-windows-installer-engine_31bf3856ad364e35_6.1.7601.18637_none_6be27a10fe92a5ec\msi.dll CMD: copy /y C:\TMP\msi.dll C:\Windows\SysWOW64\msi.dll Plik fixlist.txt oraz FRST umieść na pendrive. Przy starcie komputera F8 > Napraw komputer > Wiersz polecenia > uruchom FRST: KLIK. W FRST wybierz opcję Fix, na pendrive powstanie fixlog.txt. Zaloguj się ponownie do Windows i przedstaw go. 2. Pozostałe pliki umieść w folderze C:\Windows\Temp\CheckSur\WinSxS\Manifests. Uruchom ponownie "Narzędzie analizy gotowości aktualizacji systemu", powinno wykorzystać podstawione pliki do naprawy. Przedstaw wynikowy checksur.log.

Logi z przestarzałego OTL nie są tu brane pod uwagę. Proszę czytaj zasady danego forum, gdy prosisz o pomoc. Obowiązkowe logi tego forum są wymienione w ogłoszeniu: KLIK.

Na przyszłość: proszę w pierwszej kolejności odinstaluj adware za pomocą Panelu sterowania (szukaj nieznanych / podejrzanych / świeżo dodanych) > potem w menedżerach przeglądarek > na końcu dopiero automaty. AdwCleaner nie prowadzi deinstalacji i brutalnie usuwa obiekty, to ma skutki uboczne (więcej śmieci zostaje, martwe wejścia deinstalacyjne, w specyficznych okolicznościach uszkodzenie w systemie). Tu można było uniknąć awarii. Co się stało: nie został poprawnie odinstalowany IGS / igsc, AdwCleaner na chama kasował pliki - krytycznym był OptimizerMonitor.dll wpięty w łańcuch sieciowy Winsock, nastąpiło uszkodzenie Winsock: Winsock: Catalog9 01 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 02 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 03 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 04 C:\Windows\system32\OptimizerMonitor.dll File Not found () Winsock: Catalog9 15 C:\Windows\system32\OptimizerMonitor.dll File Not found () To nie jedyny problem w systemie - nadal jest adware, a także stara infekcja Live Security Platinum + ZeroAccess źle czyszczona w przeszłości. Działania naprawcze: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader X (10.1.3) - Deutsch, Java™ 6 Update 32. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [gmsd_de_136] => [X] HKLM-x32\...\Run: [gmsd_de_138] => [X] HKLM-x32\...\Run: [gmsd_de_147] => [X] HKLM-x32\...\Run: [gmsd_de_158] => [X] HKLM-x32\...\Run: [gmsd_de_166] => [X] HKLM-x32\...\Run: [gmsd_de_172] => [X] HKLM-x32\...\Run: [gmsd_de_179] => [X] HKU\S-1-5-21-495053369-2026751637-1525330651-1000\...0c966feabec1\InprocServer32: [Default-shell32] C:\Users\Barbara\AppData\Local\{2c249d82-45f6-5c40-d998-c76cef35739b}\n. ATTENTION! ====> ZeroAccess/Alureon? AppInit_DLLs: C:\Users\Barbara\AppData\Local\Ap\MTResources\spdrmn.dll => C:\Users\Barbara\AppData\Local\Ap\MTResources\spdrmn.dll File Not Found AppInit_DLLs-x32: c:\users\barbara\appdata\local\ap\mtresources\btmn.dll => "c:\users\barbara\appdata\local\ap\mtresources\btmn.dll" File Not Found Task: {3DA0556B-1600-4672-BD50-73A843130B1F} - System32\Tasks\{D4570679-7195-412B-A280-808300FC6547} => pcalua.exe -a C:\ProgramData\GoldenCoupon\GoldenCoupon.exe -c /progname=GoldenCoupon /progver=3.4.2 /progpub=GoldenCoupon /proguninstallurl=asdahjka.com /deleteappfolder=0 /VERYSILENT Task: {46810351-FFF5-480B-A6A5-3A6FFC24BB10} - System32\Tasks\{EF21C7D1-0348-4E48-B732-8DE9737E1823} => pcalua.exe -a F:\Asus\Audio\Audio_Realtek_Win7_64_Z6016373\Setup.exe -d F:\Asus\Audio\Audio_Realtek_Win7_64_Z6016373 Task: {7398F1EA-A97B-4643-8478-046ADDEEC373} - System32\Tasks\avayvxvaxc => C:\Users\Barbara\AppData\Local\avayvxvaxc\avayvxvaxc.exe [2015-02-15] () Task: {DC88DF28-10A7-42E2-A112-1EB225017731} - System32\Tasks\{0DFD9101-151D-4328-A470-C2949937DDF1} => pcalua.exe -a E:\Software\Installer.exe -d E:\Software GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-495053369-2026751637-1525330651-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.sonic-search.com/?p=mKO_AwFzXIpYRa4j3q-3hUPE4m9xhqQak5up5sscMEh1ixCLtAFtlMNNIr0b7wpWWkuwgiTa_LG3AGJ3-9VHydeQy5PDxdAVvSLRkysVXdtJJrwBeEq-PLQKAlmCjoVZXtMgk3NSEbwVF-RKgi9WT108Z_axcLgwfS17Kh0I&q={searchTerms} HKU\S-1-5-21-495053369-2026751637-1525330651-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.sonic-search.com/?p=mKO_AwFzXIpYRa4j3q-3hUPE4m9xhqQak5up5sscMEh1ixCLtAFtlMNNIr0b7wpWWkuwgiTa_LG3AGJ3-9VHydeQy5PDxdAVvSLRkysVXdtJJrwBeEq-PLQKAlmCjoVZXtMgk3NSEbwVF-RKgi9WT108Z_axcLgwfS17Kh0I&q={searchTerms} SearchScopes: HKLM-x32 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.sonic-search.com/?p=mKO_AwFzXIpYRa4j3q-3hUPE4m9xhqQak5up5sscMEh1ixCLtAFtlMNNIr0b7wpWWkuwgiTa_LG3AGJ3-9VHydeQy5PDxdAVvSLRkysVXdtJJrwBeEq-PLQKAlmCjoVZXtMgk3NSEbwVF-RKgi9WT108Z_axcLgwfS17Kh0I&q={searchTerms} BHO-x32: No Name -> {829d755a-a5e4-4056-8624-3ca82fb4b7d4} -> No File Toolbar: HKLM - No Name - {9eb324ca-1466-4907-8392-92c9f653a229} - No File Toolbar: HKLM-x32 - No Name - {9eb324ca-1466-4907-8392-92c9f653a229} - No File Toolbar: HKU\S-1-5-21-495053369-2026751637-1525330651-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\OptimizerMonitor => ""="service" C:\Program Files (x86)\Browser Good C:\Program Files (x86)\Moon Phase C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Open Tweet Filter C:\Program Files (x86)\PlusHD Cinema 2.1cV04.02 C:\Users\Barbara\AppData\Local\{2c249d82-45f6-5c40-d998-c76cef35739b} C:\Users\Barbara\AppData\Local\avayvxvaxc C:\Users\Barbara\AppData\Local\nsq13BF.tmp C:\Users\Barbara\AppData\Local\nsxFFAE.tmp Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{82B558C7-2A69-D3D5-B65A-DCAB3B65AD02} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PlusHD Cinema 2.1cV04.02" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Sieć wróci do życia. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p W menedżerze profilów Firefox usuń wszystkie z wyjątkiem bieżącego. Następnie uruchom bieżący profil i wyczyść go: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Barbara\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Zestaw logów z FRST niekompletny - brak obowiazkowego pliku Shortcut - uzupełnij. I proszę dodać wszystkie raporty z folderu C:\AdwCleaner.

Na temat używania ComboFix: KLIK. Log już zostaw, by było wiadome co narzędzie robiło. Co tu się podaje jako obowiązkowe: KLIK.

Temat przenoszę do działu Windows. Był uruchamiany GMER. Do wykonania Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Cóż, w tym przypadku pierwszy podejrzany to BitDefender - bardzo rozbudowany układ startowy.

Tu nastąpił jakiś proces podmiany plików, powstały kopie BAK dla dwóch kluczowych plików: ==================== One Month Created Files and Folders ======== 2015-02-15 16:13 - 2015-02-15 16:13 - 05554112 _____ (Microsoft Corporation) C:\Windows\System32\ntoskrnl.bak 2015-02-15 16:13 - 2015-02-15 16:13 - 00605552 _____ (Microsoft Corporation) C:\Windows\System32\winload.bak ==================== One Month Modified Files and Folders ======= 2015-02-15 16:13 - 2013-12-23 13:19 - 00346112 _____ (Microsoft Corporation) C:\Windows\System32\bcdedit.exe 2015-02-15 16:13 - 2013-12-22 18:34 - 00605552 _____ (Microsoft Corporation) C:\Windows\System32\winload.exe Zasadniczy plik winload.exe jest niepoprawny, powinien mieć sumę 78C918D3612FE5937D32E488F053F10A jak jego kopia w katalogu Boot: ================== Search Files: "winload.exe" ============= C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe [2013-12-22 18:34][2015-02-15 16:13] 0605552 ____A (Microsoft Corporation) 24818326FC867D5B8E5B09AC4911E24F C:\Windows\System32\winload.exe [2013-12-22 18:34][2015-02-15 16:13] 0605552 ____A (Microsoft Corporation) 24818326FC867D5B8E5B09AC4911E24F C:\Windows\System32\Boot\winload.exe [2013-12-22 18:34][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A Dla porównania moje sumy kontrolne: ================== Search Files: "winload.exe" ============= C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] C:\Windows\System32\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] C:\Windows\System32\Boot\winload.exe [2012-11-24 18:24][2011-02-05 18:06] 0605552 ____A (Microsoft Corporation) 78C918D3612FE5937D32E488F053F10A [File is signed] 1. Podmiana pliku winload.exe. Do Notatnika wklej: CMD: copy /y C:\Windows\System32\Boot\winload.exe C:\Windows\System32\winload.exe CMD: copy /y C:\Windows\System32\Boot\winload.exe C:\Windows\winsxs\amd64_microsoft-windows-b..vironment-os-loader_31bf3856ad364e35_6.1.7601.17556_none_b923808583650cfb\winload.exe Plik zapisz pod nazwą fixlist.txt tam skąd uruchamiasz FRST (F:). Uruchom FRST i klik w Fix. Dostarcz wynikowy plik fixlog.txt. 2. W związku z tym, że występuje tu także ntoskrnl.bak oraz widać odświeżenie edytora BCD, w polu Search wklep: bcdedit.exe;ntoskrnl.exe Klik w Search Files i dostarcz wyniki. 3. W artykule były wyliczane edycje BCD. Poproszę o ponowny raport FRST, lecz tym razem zaznacz opcję List BCD.