picasso

Nie pokazałeś ostatniego pliku fixlog.txt.

kondzior1989, proszę podaj raporty z FRST, to się zabiorę za analizę i usuwanie. Instrukcja tworzenia raportów: KLIK. Mają powstać trzy pliki: FRST.txt, Addition.txt i Shortcut.txt. Pliki te należy doczepić w postaci oryginalnej jako załączniki forum, nie wklejać ich w poście.

Nie wszystko się przetworzyło w skrypcie FRST. Omyłkowo przekleiłam formatowanie ze starej wersji FRST. Poprawki: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150212 HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://google.atcomet.com/b/ HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40 HKU\S-1-5-21-342266629-1139831834-1673432305-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKLM-x32 -> {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=1&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1423747685&from=wpc&uid=3219913727_67194_18CACE40&q={searchTerms} SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {523BD156-F9C9-43BC-9C47-7E1342902D7E} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=18cace40000000000000485b391770d9 SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> {B2A69A26-654E-4DA3-B024-25FBB670D4CF} URL = http://startsear.ch/?aff=2&src=sp&cf=2dd65210-3644-11e1-918e-f382060710dd&q={searchTerms} Toolbar: HKU\S-1-5-21-342266629-1139831834-1673432305-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File C:\Program Files (x86)\GUTDEEA.tmp C:\Program Files (x86)\Opera 11.10 beta C:\ProgramData\*.log Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Opera" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuiń) i dostarcz log z folderu C:\AdwCleaner. Załóż nowe konto użytkownika z poziomu Panelu sterowania, zaloguj się na nie i sprawdż czy i tam będzie problem.

Temat przenoszę do działu Windows, być może do Hardware pójdzie, bo jest tu wyraźnie powiedziane, że już od momentu instalacji Windows jest problem. Na razie to tu widać, że system jest zamęczony nadmiarem antywirusów (nieświeżych), nie wiadomo od kiedy są, może wskoczyły później. Są owszem i odpadki adware, ale w tym przypadku wątpię w ich kluczową rolę (jedyny obiekt zazębiający się z opisem, to sterownik adware, reszta martwa i nie ten poziom). Wstępnie: 1. Odinstaluj: - Stare wersje: avast! Free Antivirus, Avira Free Antivirus, McAfee Security Scan Plus. - Adware: Delta Chrome Toolbar, Delta toolbar, HDvid Codec V6.0, HDVidCodec, Shop-wit. Wpisy są uszkodzone, ale Windows powinien zapytać czy je usunąć. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}Gw64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}Gw64.sys [61120 2014-04-24] (StdLib) Task: {5D7BA2D7-E47D-4D1D-BE94-D07F55DAAD0B} - System32\Tasks\{FC88D31B-5CDD-400A-A51D-6341C82EC165} => pcalua.exe -a "C:\Users\Kika\Desktop\Silent Hill PC (Nerevarr)\silent hill pc\autorun.exe" -d "C:\Users\Kika\Desktop\Silent Hill PC (Nerevarr)\silent hill pc" Task: {5DA9DD45-D758-46B1-91EF-D0F6EE655C96} - System32\Tasks\HDvid Codec V6.0-updater => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-updater.exe Task: {6B8E577A-9D1F-4EDD-98D3-5E256EFC23BD} - System32\Tasks\EPUpdater => C:\Users\Kika\AppData\Roaming\BabSolution\Shared\BabMaint.exe Task: {77317BEA-D38B-4005-B3D4-72020117372E} - System32\Tasks\Shop-wit => C:\Users\Kika\AppData\Local\shopwit\shopwit\1.3.6.10\shopwit.exe Task: {84F54EC0-F0D6-40A1-BEC7-18416867BC89} - System32\Tasks\HDvid Codec V6.0-codedownloader => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-codedownloader.exe Task: {8C3E5E84-52D9-4520-BA6E-DB166353410B} - System32\Tasks\{8932685C-0AC4-4000-8C55-AFE440E96442} => pcalua.exe -a "C:\Program Files (x86)\Silent Hill\Silent Hill.exe" -d "C:\Program Files (x86)\Silent Hill" Task: {B8D55780-D6EE-4640-AB68-01C560FB8AA9} - System32\Tasks\HDvid Codec V6.0-enabler => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-enabler.exe Task: {E9D700CD-2413-45F2-8F18-A70C54B3AD4E} - System32\Tasks\{7E9B427E-5738-4F97-9573-E6B8FF87558C} => pcalua.exe -a "C:\Program Files (x86)\Silent Hill\Silent Hill.exe" -d "C:\Program Files (x86)\Silent Hill" Task: C:\WINDOWS\Tasks\HDvid Codec V6.0-codedownloader.job => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-codedownloader.exe Task: C:\WINDOWS\Tasks\HDvid Codec V6.0-enabler.job => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-enabler.exe Task: C:\WINDOWS\Tasks\HDvid Codec V6.0-updater.job => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-updater.exe HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\system: [DisableChangePassword] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [NofolderOptions] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [DisallowRun] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKU\S-1-5-21-1735395495-2726210869-181527219-1002\...\MountPoints2: {86f3a269-99bc-11e4-806d-c8f7335faf04} - "G:\Startme.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1735395495-2726210869-181527219-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=34ABCAF7335FAF01&affID=119357&tsp=5015 Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No File CustomCLSID: HKU\S-1-5-21-1735395495-2726210869-181527219-1002_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Kika\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path CHR HKLM-x32\...\Chrome\Extension: [dbpebffoameokfhnaaedmefjncfboino] - No Path CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - No Path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Graphics and Media Control Panel.lnk C:\Users\Kika\AppData\Local\*.html C:\Users\Kika\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Kika\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Kika\Desktop\ALLLLL\all\GG.lnk C:\Users\Kika\Desktop\ALLLLL\all\Nowy folder (3)\Nowy folder\ZROB PORZADEK\Nowy folder (3)\Nowy folder (4)\McAfee Security Scan Plus.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Security Scan Plus.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v AvastUI.exe /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany,

Wszystko zrobione, urządzenie też skorygowane. Kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Users\pc\Doctor Web RemoveDirectory: C:\Users\pc\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\455F074C814E4520B69B5584BD90400C.TMP CMD: del /q C:\Users\pc\Downloads\jj12qdti.exe CMD: del /q C:\Users\pc\Downloads\ot81qfye.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0194C594-CB88-42E9-B871-A574FAA47891} /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216031FF} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po tym: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix FRST wykonany. Natomiast cały czas ten sam odczyt widnieje: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. Kolejny pobór danych. Otwórz Notatnik i wklej w nim: CMD: sc query winmgmt CMD: winmgmt /salvagerepository ListPermissions: C:\Windows\System32\LogFiles\WMI ListPermissions: C:\Windows\System32\LogFiles\WMI\RtBackup Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Kosmetyka wykonana, nic więcej nie widzę do interwencji. Na koniec: Usuń skanery z folderu D:\Moje dokumenty\Malware_02.2015. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Google Chrome sypie krytycznymi błędami w Dzienniku zdarzeń: Application errors: ================== Error: (02/19/2015 05:54:29 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\737435d8-a186-407e-86a7-d100b9de159d.dmp Error: (02/19/2015 05:54:13 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\cdbdda17-9aae-4a96-a9ff-0b27133dcb6d.dmp Error: (02/19/2015 05:43:31 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\b678c4df-10df-4f79-8c4d-4b076f7ea7b5.dmp Error: (02/19/2015 05:34:24 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\8e0eb41b-24b5-4aec-9d91-1d538a7ef8b4.dmp Error: (02/19/2015 05:31:51 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\254f7214-ad34-4e1f-84a4-f752607d61db.dmp Error: (02/19/2015 05:28:17 PM) (Source: Chrome) (EventID: 1) (User: ZARZĄDZANIE NT) Description: Chrome has encountered a fatal error. ver=40.0.2214.111;lang=;guid=8D1E4C9CAEA14485965DBC10041DF964;is_machine=1;oop=1;upload=1;minidump=C:\Program Files (x86)\Google\CrashReports\e61b2b7f-48ce-4f14-a5cb-eed0e990857e.dmp Sprawdź czy coś pomoże: 1. Zastosowanie narzędzia Google Software removal tool - wykonuje m.in. reset przeglądarki. W przypadku niepowodzenia: 2. O ile uda się uruchomić Chrome, załóż nowy profil (Ustawienia > karta Ustawienia > Osoby) i zaloguj się na niego. Przy braku rezultatów: 3. Wykonaj kompletną reinstalację. Wyeksportuj tylko zakładki. Odinstaluj, przy deinstalacji zaznacz Usuń także dane przeglądarki. Posiadasz wersję 40.0.2214.111, a jest już nowsza 40.0.2214.115 dostępna. PS. W spoilerze poboczne komentarze oraz usuwanie pustych wpisów i czyszczenie Tempów.

Fix wykonany, możesz przejść do finalizacji ostatecznej.

ittechserwis Zasady działu: KLIK. Poza tym: pavements Wspominane wcześniej adware już było usuwane skryptem FRST. Wyniki podane w poście numer #7. Nie ma już żadnych czynnych obiektów adware, które mogą wpływać na coś. Co najwyżej mogą być szczątki nie obejmowane zakresem skanu FRST, ale to drobne odpadki. Pod tym kątem: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz raport z folderu C:\AdwCleaner. - Rozszerzenia: wg FRST brak jakichkolwiek rozszerzeń w Operze - czy tak? - Wtyczki: uruchom stronę opera://plugins, tymczasowo wyłącz wszystko co tam się pokaże, przeładuj przeglądarkę i podaj czy jest jakaś zmiana.

1. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Przeczytaj też na co uważać przy pobieraniu: KLIK. To tyle w zakresie czyszczenia adware. Wątek monitora w ogóle nie ma z tym związku, nie ten poziom modyfikacji.

Temat przenoszę do działu Software. To nie jest problem infekcji. Za to podejrzany jest COMODO Internet Security. PS. Dokasuj te puste śmieci: C:\Users\Default\Desktop\Trend Micro Titanium.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Trend Micro Titanium C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro

Operacja wykonana. Zastosuj tak jak poprzednio DelFix i wyczyść foldery Przywracania systemu: KLIK. Po użyciu DelFix pozbądź się pliku C:\Delfix.txt.

Clean, a nie Uninstall.

Poprzednie zadania wykonane, ale jeszcze drobne poprawki na nowe zmiany. Do Notatnika wklej: S2 AdobeARMservice; "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] C:\Users\PC\Desktop\Kontynuuj instalację CorelDRAW Graphics Suite.lnk C:\Users\PC\Downloads\Malavida_Download_Manager.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\PC\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Masz wcisnąć Usuń (Delete), a nie Odinstaluj (Uninstall).

Temat zostanie przeniesiony do działu Windows. Z raportów nic nie wynika pod kątem problemu, a w Dzienniku zdarzeń rozmaite błędy bez przewodniego motywu. Jest tu wprawdzie czynne adware Ask, ale wątpię by to miało taki wpływ na system. Jeśli problem jest tylko w obszarze eksploratora, to prędzej nasuwają się programy integrujące z powłoką. Instalowałeś wiele aplikacji w ostatnim czasie, m.in. kodeki. Doczyszczanie adware: 1. Przez Panel sterowania odinstaluj adware/PUP: Free YouTube Downloader 4.0.312, Search App by Ask, YTD Video Downloader 4.8.9. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5457EA6E-7E01-4FB3-9178-70FCFC2DEB4E} - System32\Tasks\ZRZYR => C:\Users\RHinplus\AppData\Roaming\ZRZYR.exe Task: {5FAE7704-53AA-41DE-B1AC-88E637A17980} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-173311020-2444926906-3683853307-1001 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe Task: {BBF45837-F7B9-4660-B482-243435B0EF69} - System32\Tasks\UNELEVATE_15164 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.1413\jsdrv.exe Task: {CBF23037-DB97-44E0-AB53-42188BEE804E} - System32\Tasks\AB => C:\Users\RHinplus\AppData\Roaming\AB.exe Task: C:\windows\Tasks\AB.job => C:\Users\RHinplus\AppData\Roaming\AB.exe Task: C:\windows\Tasks\ZRZYR.job => C:\Users\RHinplus\AppData\Roaming\ZRZYR.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers-x32: [iB24SynchronizationPending] -> {08ad9864-e486-4cdb-8781-d507026cf5d6} => No File ShellIconOverlayIdentifiers-x32: [iB24Synchronized] -> {08ad9864-e486-4cdb-8781-d507026cf5d7} => No File HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141207 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141207 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-173311020-2444926906-3683853307-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?tpid=SGT-SP&o=APN11004&pf=V7&trgb=IE&p2=^B3Q^aaa155^YY^PL&gct=hp&apn_ptnrs=^B3Q&apn_dtid=^aaa155^YY^PL&apn_dbr=cr_39.0.2171.71&apn_uid=22356410-F6EA-4B6C-8637-A74A9BDEB0A3&itbv=12.21.0.3795&doi=2014-12-07&psv=&pt=tb SearchScopes: HKU\S-1-5-21-173311020-2444926906-3683853307-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = SearchScopes: HKU\S-1-5-21-173311020-2444926906-3683853307-1001 -> {6F87B2D8-0510-4843-87BE-A14959A33E93} URL = http://www.search.ask.com/web?tpid=SGT-SP&o=APN11004&pf=V7&p2=^B3Q^aaa155^YY^PL&gct=&itbv=12.21.0.3795&apn_uid=22356410-F6EA-4B6C-8637-A74A9BDEB0A3&apn_ptnrs=^B3Q&apn_dtid=^aaa155^YY^PL&apn_dbr=cr_39.0.2171.71&doi=2014-12-07&trgb=IE&q={searchTerms}&psv=&pt=tb StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HomePage: Default -> CHR StartupUrls: Default -> "hxxp://google.com/", "hxxp://isearch.omiga-plus.com/?type=hp&ts=1416764338&from=smt&uid=LITEONITXLMT-256L9M-11XMSATAX256GB_TW0N42H7550854790144" CHR HKU\S-1-5-21-173311020-2444926906-3683853307-1001\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path C:\Program Files (x86)\AskPartnerNetwork C:\ProgramData\*.log C:\ProgramData\AskPartnerNetwork C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\RHinplus\AppData\Local\AskPartnerNetwork C:\Users\RHinplus\AppData\Roaming\AB C:\Users\RHinplus\AppData\Roaming\ZRZYR C:\Users\RHinplus\AppData\Roaming\How Inc C:\Users\RHinplus\AppData\Roaming\Opera Software C:\Users\RHinplus\Downloads\Niepotwierdzony*.crdownload C:\Users\RHinplus\Downloads\FreeYouTubeDownloaderOC.exe C:\Users\RHinplus\Downloads\FYTDSetup.exe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ApnTBMon /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są zmiany (wątpię).

1. Hitman wykrył jeszcze mini szczątki adware oraz różne ciastka. Wszystko sprzątnij za pomocą programu. 2. Na koniec wyczyść foldery Przywracania systemu: KLIK. 3. I przeczytaj czego unikać: KLIK. To tyle.

Dokładnie mamy tu to co mówiłam - linia "Bieżący tryb transferu: Tryb PIO". Z prawokliku odinstaluj Podstawowy kanał IDE i zresetuj system. Windows powien przebudować urządzenie przypisując mu tryb DMA i znacznie przyśpieszyć.

W systemie jest aktywna infekcja ładowana via Shell bieżącego użytkownika, udająca "(Obraz JPEG)". Do wdrożenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Winlogon: [shell] C:\Users\Mateusz\AppData\Local\SearchIndexer.exe [563712 2015-02-13] (Obraz JPEG) HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Run: [AdobeBridge] => [X] S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hppp&ts=1422797341&from=smt&uid=SAMSUNGXHD250HJ_S0URJ1CQ409680 FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2033083771-4243169969-2649436394-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Users\Mateusz\AppData\Local\SearchIndexer.exe C:\Users\Mateusz\AppData\Local\LF_* C:\Users\Mateusz\AppData\Local\SS_* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Chodzi o zrzut z karty Ustawienia zaawansowane.

Nie wiem z jakiego powodu AdwCleaner tak wpłynął na start Windows i nawet po ponownym resecie był problem. AdwCleaner nie usuwał nic szczególnego - drobne szczątki adware. W podanych raportach brak oznak czynnej infekcji. Możesz wykonać jeszcze kosmetykę (usunięcie odpadka adware key-find, innych pustych wpisów i czyszczenie Tempów): Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] U4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X] HKU\S-1-5-21-101574327-4162847114-3858594938-1001\...\Run: [ViStart] => C:\Users\Adam\AppData\Roaming\ViStart\ViStart.exe HKU\S-1-5-21-101574327-4162847114-3858594938-1001\...\Run: [NukeMetro] => "C:\Users\Adam\AppData\Roaming\ViStart\ViStart.exe" /nuke_metro HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-101574327-4162847114-3858594938-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\Users\Adam\AppData\Roaming\ViStart Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\key-find uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s C:\Windows\system32\netcfg-*.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

1. Uruchom ponownie AdwCleaner, ale tym razem zastosuj akcję Szukaj + Usuń. Gdy AdwCleaner ukończy się czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Łukasz\Desktop\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Start > Uruchom > devmgmt.msc > w menu Widok ustaw Urządzenia wg połączenia > rozwiń gałęzie, aż dojdziesz do kontrolera na którym siedzi dysk twardy (Podstawowy lub Pomocniczy kanał IDE) > pobierasz z prawokliku Właściwości kontrolera i robisz zrzut ekranu.

1. Uruchom ponownie AdwCleaner, zastosuj akcję Szukaj + Usuń. Gdy ukończy się czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\ALEKSANDRA\Desktop\Stare dane programu Firefox CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. I podsumuj co się aktualnie dzieje w systemie.