picasso

Proszę nie zniekształcaj raportów z FRST - dostarczone pliki to nie są oryginały, tylko przeklejona wtórnie treść zapisana ponownie do nowych plików. Skutki: "Additional.txt" to sieczka przejść do nowych linii w środku i fatalnie się to czyta, wszystkie raporty są w złym kodowaniu ANSI (a nie UTF-8 jak oryginały), które powoduje utratę specjalnych znaków. Jest tu infekcja routera, pierwszy adres jest ukraiński: KLIK. To jest główny powód występowania erostron i tego nie rozwiąże żaden antywirus czy inne narzędzie uruchomione spod Windows, problem leży w innym urządzeniu. Tcpip\Parameters: [DhcpNameServer] 195.238.181.164 8.8.8.8 Poza tym, są mniejsze śmieci w postaci różnych obiektów adware (niektóre w systemie od bardzo dawna). Do wdrożenia następujące operacje: 1. Jeśli masz dostęp, zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Zrób nowe logi FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dostarcz oryginalne pliki a nie "przeklejki".

Zadania wykonane. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Bench C:\Program Files (x86)\Temp C:\ProgramData\1078601655 C:\ProgramData\3f3f6040000014f2 C:\ProgramData\McAfee C:\ProgramData\Roaming C:\ProgramData\ShoppingDealFactory C:\Users\Masa\AppData\Local\globalUpdate C:\Users\Masa\AppData\LocalLow\Protect C:\Users\Masa\AppData\Roaming\Local C:\Users\Masa\AppData\Roaming\rmi Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na początek wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

A co z AdwCleaner - czy on nic nie pokazał, że temat urwał się w tym punkcie? Dzięki za dotację!

Poprzednie sprawy załatwione, ale robota od początku. W międzyczasie znów nabawiłeś się adware! Wygląda na to, że pobierałeś DAEMON Tools Lite z jakiegoś lewego źródła i uruchomiłeś coś w stylu "Asystent pobierania". Proszę przeczytaj czego unikać, jak nie pobierać: KLIK. W związku z tym proszę o dostarczenie także plików FRST Addition i Shortcut.

Dodam, że dobreprogramy wprowadziły ostatnio drobną zmianę w związku z zastrzeżeniami do niejawności klucza 1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I tworzonego przez "Asystenta" w rejestrze. Ponoć "Asystent" nie pokazuje się już w przeglądarkach z wyłączoną funkcją słodkości: Portal Dobreprogramy a ustawa Ustawa o prawie telekomunikacyjnym z dnia 16 listopada 2012 Dodam informację do mojego tematu.

DevicesFix, nie rozumiem pytania i odnoszę wrażenie, że błędnie zinterpretowałeś słowo "Serwis" w kontekście tutejszego forum. Co ma wspólnego Twój projekt z moim (charytatywnym!) forum oraz jaki jest cel pytania o raporty FRST/OTL (które w oczywisty sposób są tu podstawą różnej diagnostyki, o czym mówią zasady poszczególnych działów).

Registry Commander Strona domowa (strona z prefiksem http) Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Registry Commander - Alternatywny edytor rejestru inspirowany programem Total Commander (stąd konotacje nazewnicze). Oferuje większość funkcji orginalnego regedit oraz dodatkowe własne rozwiązania. Podstawową cechą odróżniającą ten program od regedit jest inne podejście prezentacyjne i nawigacyjne. Brak lewego bocznego panelu z drzewem kluczy, klucze i wartości są prezentowane wspólnie w obrębie tego samego okna na podobieństwo normalnych folderów. Nawigacja do głównych gałęzi ma też powiązane skróty klawiaturowe. Ponadto znajdziemy tu dodatkowe ulepszenia nieobecne w regedit: Statystyki kluczy: ilość podkluczy i wartości, długość, rozmiar, data ostatniego zapisu. Kolumna informacyjna wyświetlająca rozmiar danych wartości w bajtach. Detekcja 12 typów wartości (m.in. REG_LINK) identyfikowanych kolorem. Odsyłam do materiału referencyjnego Registry Data Types. Zmiana typu danych wartości (np. wartości ciągu na wartość binarną) bez zmiany zawartości danych wartości. Podgląd danych wartości w innym formacie bez modyfikacji danych wartości. Np. wartość ciągu może być oglądnięta jako wartość binarna i vice versa. Kopiowanie i przenoszenie kluczy / wartości w inne miejsce. Rozszerzona wyszukiwarka wyposażona w definiowanie zakresu lokalizacji oraz dodatkowe warunki (wyszukiwanie wg typu wartości oraz rozmiaru). Funkcja "Jump to key" pozwalająca na szybkie otworzenie konkretnego klucza rejestru. Protokół reg:// umożliwiający tworzenie linków do wybranych kluczy, działających na tej samej zasadzie co adresy http://. Historia (otwierana przez klik na ścieżkę aktualnie otworzonego klucza) umożliwiająca szybką nawigację między bieżącym kluczem a poprzednio otworzonym. Rozwinięty system zakładek kluczy i wartości, z możliwością zapisywania komentarzy. Zakładki można importować i eksportować. Wadą jest jednak brak takich funkcji jak dostęp do konfiguracji uprawnień czy ładowanie gałęzi rejestru offline. W konfiguracji można zmienić detale graficzne typu kolor okna. Program jest 32-bitowy, ale potrafi na systemie 64-bit odczytać 64-bitową część rejestru i ma opcję sterującą tą możliwością. Na systemie 64-bit opcja odczytu rejestru x64 jest domyślnie włączona. Nie wymaga instalacji.

Przypisanie domyślnej przeglądarki naprawiło prawie wszystko. Została do odbudowy mała część w gałęzi HKLM. 1. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp] "Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}" "ShellFolder"="{63da6ec0-2e98-11cf-8d82-444553540000}" @="URL:File Transfer Protocol" "AppUserModelID"="Microsoft.InternetExplorer.Default" "EditFlags"=dword:00200002 "URL Protocol"="" "FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-905" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\DefaultIcon] @="C:\\Windows\\System32\\url.dll,0" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open] "CommandId"="IE.Protocol" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" "DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http] "Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}" @="URL:HyperText Transfer Protocol" "AppUserModelID"="Microsoft.InternetExplorer.Default" "EditFlags"=dword:00200002 "URL Protocol"="" "WebNavigableCLSID"="{ae90e550-0443-47fb-a001-4875648d4ed3}" "FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-903" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\DefaultIcon] @="C:\\Windows\\System32\\url.dll,0" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\Extensions] ".ASF"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" ".WM"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" ".WMA"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" ".WMV"="{187463A0-5BB7-11D3-ACBE-0080C75E246E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open] "CommandId"="IE.Protocol" "DontReturnProcessHandle"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" "DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https] "Source Filter"="{E436EBB6-524F-11CE-9F53-0020AF0BA770}" @="URL:HyperText Transfer Protocol with Privacy" "AppUserModelID"="Microsoft.InternetExplorer.Default" "EditFlags"=dword:00200002 "URL Protocol"="" "FriendlyTypeName"="@C:\\Windows\\System32\\ieframe.dll,-904" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\DefaultIcon] @="C:\\Windows\\System32\\url.dll,0" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open] "CommandId"="IE.Protocol" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\open\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" "DelegateExecute"="{17FE9752-0B5A-4665-84CD-569794602F5C}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Dużo obiektów zniknęło, ale nie wszystkie. Poprawki: 1. Deinstalacje: - Uruchom ponownie narzędzie Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście dwa odpadki Google Update Helper > Dalej. - Nie zostały odinstalowane stare wersje: OpenOffice.org 3.4.1, Opera 12.15. Potem zamienisz najnowszymi. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6a0e715f-5cd3-4402-8a39-80497da09315}Gw64; C:\Windows\System32\drivers\{6a0e715f-5cd3-4402-8a39-80497da09315}Gw64.sys [48776 2015-01-23] (StdLib) R1 {dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64; C:\Windows\System32\drivers\{dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64.sys [48776 2014-11-26] (StdLib) R1 {e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64; C:\Windows\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64.sys [48832 2014-10-16] (StdLib) S2 0085711423938610mcinstcleanup; C:\Users\Teresa\AppData\Local\Temp\008571~1.EXE [851136 2014-08-08] (McAfee, Inc.) S0 cfwids; system32\drivers\cfwids.sys [X] S0 mfeapfk; system32\drivers\mfeapfk.sys [X] R0 mfeavfk; system32\drivers\mfeavfk.sys [X] S0 mfeelamk; system32\drivers\mfeelamk.sys [X] S4 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [X] S0 mfefirek; system32\drivers\mfefirek.sys [X] R0 mfehidk; system32\drivers\mfehidk.sys [X] S2 mfevtp; "C:\Windows\system32\mfevtps.exe" [X] R0 mfewfpk; system32\drivers\mfewfpk.sys [X] R1 wpnfd_1_10_0_1; system32\drivers\wpnfd_1_10_0_1.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {1CB0ECE1-72EE-4144-B8F4-BE8411667B39} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-4 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.exe Task: {269D5B6E-4333-4DA5-89D1-18BB76FA8345} - System32\Tasks\$crrUnisntlDsply$ => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrlte.exe Task: {2FB5E814-CEBB-4619-B667-23628D8C438B} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-6 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.exe Task: {48F3E775-3D5D-476F-87FF-08A99593EBA5} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: {56E72D86-428C-47F1-B6FC-0106B0B83087} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-01] (Google Inc.) Task: {5E3C5EAE-131D-4FF9-A7A6-75C650C55AF2} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-11 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.exe Task: {6E7BCF66-1376-47BE-A598-7B8617A5C971} - System32\Tasks\QtraxPlayer1 => 2373174348.portal.qtrax.com Task: {99776C1C-692F-41E9-8E1C-8EDDE7E95C17} - System32\Tasks\Yahoo! Search Updater => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrsetup.exe Task: {A3DDCBCD-5B48-40E2-B2D3-DC29D2D3003E} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-1 => C:\Program Files (x86)\V-9.1HD\V-9.1HD-codedownloader.exe Task: {A735EB91-D786-46A3-AD54-275B0DEE03AD} - System32\Tasks\Yahoo! Search => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.19.2\dsrlte.exe Task: {AADE4846-295C-46DE-A567-3123F9EC7F9B} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5_user => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: {B18418D1-8DB5-47ED-99DF-5E0455E42785} - System32\Tasks\Super Optimizer Schedule => C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe Task: {C9E4DD4C-CA60-4591-9A03-7108A7391BE9} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-3 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.exe Task: {CE746D22-B9D5-466C-BC92-8091D4A45FC6} - System32\Tasks\{D56D26EE-EDDE-4EB5-ACB8-B5ECB0A4CDFD} => pcalua.exe -a "C:\Users\Teresa\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe" -c /Uninstall /NM="VuuPC Packages" /AN="0C1I1L1R1J0M1P0I1G" /MBN="VuuPC Packages" Task: {D10A1E12-8123-404A-A94A-6A06EA301DFD} - System32\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-7 => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.exe Task: {D7557B04-2BBB-4F07-BAF1-0A71DE208546} - System32\Tasks\$crrUnisntlDsply$ Updater => C:\Users\Teresa\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.18.6\dsrsetup.exe Task: {DECE6A14-491F-48E0-9811-19178C16899A} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-01] (Google Inc.) Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-1.job => C:\Program Files (x86)\V-9.1HD\V-9.1HD-codedownloader.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-11.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-3.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-4.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-5_user.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-5.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-6.exe÷/agentregpath='V-9.1HD-nv' /appid=61776 /srcid='001257' /subid='0' /zdata='0' /bic=E6C847BFD79E4DB3AC6D92818F946D90IE /verifier=ef93e2ff738c98214735b53c23a51401 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1410026033 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://js.loadgenclientservice.com /defbro=ch /DllName32ToInjectToChrome='b26e05ab-9f7f-47e6-b72f-75296602bf69.dll' /DllName64ToInjectToChrome='b0b90348-9adb-42ba-b2c4-75c785f0cda6.dll' /nova64bitexe='84c549b1-3b85-4bc5-9c93-240c48ad7371-64.exe Task: C:\Windows\Tasks\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.job => C:\Program Files (x86)\V-9.1HD\84c549b1-3b85-4bc5-9c93-240c48ad7371-7.exe·/updateapp /agentregpath='V-9.1HD-nv' /appid=61776 /srcid='001257' /subid='0' /zdata='0' /bic=E6C847BFD79E4DB3AC6D92818F946D90IE /verifier=ef93e2ff738c98214735b53c23a51401 /installerversion=1_34_08_12 /installerfullversion=1.34.8.12 /installationtime=1410026033 /statsdomain=http://stats.loadgenclientservice.com /errorsdomain=http://errors.loadgenclientservice.com /codedownloaddomain=http://js.loadgenclientservice.com /defbro=ch /DllName32ToInjectToChrome='b26e05ab-9f7f-47e6-b72f-75296602bf69.dll' /DllName64ToInjectToChrome='b0b90348-9adb-42ba-b2c4-75c785f0cda6.dll' /nova64bitexe='84c549b1-3b85-4bc5-9c93-240c48ad7371-64.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT ShortcutWithArgument: C:\Users\Teresa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.14 1738.lnk -> C:\Program Files\Opera x64\opera.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=5A2F12689D4CB918&affID=119357&tt=040713_ctrl&tsp=4934 HKU\S-1-5-21-1347931101-2817040922-1319910007-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT&q={searchTerms} URLSearchHook: [s-1-5-21-1347931101-2817040922-1319910007-1001] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.27010003&st=12&q={searchTerms}&barid={DCF778A7-403F-4FAD-9B81-432F5A803092} SearchScopes: HKU\S-1-5-21-1347931101-2817040922-1319910007-1002 -> DefaultScope {32E41EB3-8AD3-44DD-8888-C1A0DE815239} URL = http://rts.dsrlte.com/?affID=&q={searchTerms}&r=686 SearchScopes: HKU\S-1-5-21-1347931101-2817040922-1319910007-1002 -> {32E41EB3-8AD3-44DD-8888-C1A0DE815239} URL = http://rts.dsrlte.com/?affID=&q={searchTerms}&r=686 BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File BHO-x32: Shopping Suggestion. -> {e7e8ed77-2fba-4ec6-bc07-65de4de6709f} -> C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1410026014&from=tt4u&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe http://www.delta-homes.com/?type=sc&ts=1418841199&from=wpm12173&uid=TOSHIBAXMQ01ABD050_82RCP12ATXX82RCP12AT C:\Program Files\Common Files\mcafee C:\Program Files\McAfee C:\Program Files (x86)\brrOwseandsshaoP C:\Program Files (x86)\buyfAst C:\Program Files (x86)\FreeSoftToday C:\Program Files (x86)\Google C:\Program Files (x86)\McAfee C:\Program Files (x86)\MyFree Codec C:\Program Files (x86)\oFFFersale C:\Program Files (x86)\ofufersooFt C:\Program Files (x86)\PlantUML Viewer C:\Program Files (x86)\Priozzeccoupon C:\Program Files (x86)\rec_pl_8 C:\Program Files (x86)\sAleeOfffEr C:\Program Files (x86)\VLC Player GPU+ C:\ProgramData\1471e994ff1d2b46 C:\ProgramData\1473215379271396166 C:\ProgramData\bUyfuast C:\ProgramData\brrOwseandsshaoP C:\ProgramData\couponcheapchea C:\ProgramData\ee70f246-63a3-464e-a2ed-28bc4d8db631 C:\ProgramData\hdoefmllnllcdklhnbmfgancponedmdm C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\salesale C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Open It! C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Teresa\AppData\Local\CrashDumps C:\Users\Teresa\AppData\Local\Google C:\Users\Teresa\AppData\Local\fst_pl_14 C:\Users\Teresa\AppData\Local\Mozilla C:\Users\Teresa\AppData\Local\rec_pl_8 C:\Users\Teresa\AppData\Roaming\appdataFr3.bin C:\Users\Teresa\AppData\Roaming\Mozilla C:\Users\Teresa\AppData\Roaming\MsDtc C:\Users\Teresa\AppData\Roaming\Systweak C:\Users\Teresa\Downloads\GoogleEarthSetup*.exe C:\Users\Teresa\Downloads\Installer_*.exe C:\Users\Teresa\Downloads\Niepotwierdzony*.crdownload C:\Windows\System32\drivers\{6a0e715f-5cd3-4402-8a39-80497da09315}Gw64.sys C:\Windows\System32\drivers\{dc19896d-a3e2-417d-be46-d18ebc99e240}Gw64.sys C:\Windows\System32\drivers\{e4a6645a-3f85-4e1f-aa41-8367978844db}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Teresa\AppData\Local CMD: dir /a C:\Users\Teresa\AppData\LocalLow CMD: dir /a C:\Users\Teresa\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na szybko ustosunkuję się do: To normalna grupa występująca na każdym systemie Windows 7 zaraz po jego instalacji. W tej grupie są różne natywne preinstalowane sterowniki systemu które nie pochodzą od stricte "hardware" (np. sterownik Winsock), a także dodają się sterowniki aplikacji trzecich np. antywirusów.

Proszę przedstaw co robiłeś oraz dostarcz nowe raporty z FRST mające obrazować zmiany.

To był dopiero początek. Teraz możemy przejść do dalszego usuwania, m.in. sterowniki adware ostały się. Kolejna porcja działań: 1. Pojawił się nowy "program" na liście - odinstaluj SystemBoost. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64; C:\Windows\System32\drivers\{089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64.sys [48792 2015-02-06] (StdLib) R1 {dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64; C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64.sys [48792 2015-02-12] (StdLib) R1 {e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64; C:\Windows\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys [48792 2015-02-09] (StdLib) R1 {feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64; C:\Windows\System32\drivers\{feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64.sys [48792 2015-02-08] (StdLib) R2 1991b13a; c:\Program Files (x86)\SystemBoost\SystemBoost.dll [1584640 2015-02-14] () [File not signed] S2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [3505936 2015-01-28] () [File not signed] S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-03] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2015-02-03] (globalUpdate) [File not signed] S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-25] () [File not signed] S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-25] () [File not signed] S1 wpnfd_1_10_0_6; system32\drivers\wpnfd_1_10_0_6.sys [X] Task: {0D9868FB-3625-4AEC-BAD0-C68A6296D399} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {1F4DCA95-636F-4382-B80E-7D4C4583A5BE} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-03] (globalUpdate) Task: {4B297BBA-2CDB-4F14-94ED-D8A4A7E0BB30} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {549F9B7E-C92C-48E7-9712-42CC1FC22F44} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {6AE89E44-81A8-4080-9849-0C3DB94CA097} - System32\Tasks\Taplika => C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\UpdateTask.exe [2015-02-06] () Task: {D9895477-3D4E-4B56-B7A7-AD44A9A4D4AC} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2015-02-03] (globalUpdate) Task: {E2FD4A0B-622C-496C-B515-679A40710B7F} - System32\Tasks\avaxvavya => C:\Users\Masa\AppData\Local\avaxvavya\avaxvavya.exe [2015-01-28] () Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Taplika.job => C:\Users\Masa\AppData\Roaming\Taplika\UPDATE~1\UPDATE~1.EXE AppInit_DLLs-x32: _c:\progra~2\search~1\search~1\bin\vc32lo~1.dll => c:\Program Files (x86)\SearchProtect\SearchProtect\bin\VC32Loader.dll [219408 2015-01-28] () Startup: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TornTvDownloader.lnk HKLM\...\Run: [3D BubbleSound] => "C:\Program Files\BubbleSound\3D BubbleSound.exe" HKLM-x32\...\Run: [gmsd_de_174] => [X] HKLM-x32\...\Run: [gmsd_de_187] => [X] HKLM-x32\...\Run: [gmsd_de_192] => [X] HKLM-x32\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\bkup.dat" HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\...\Run: [TornTv Downloader] => C:\Users\Masa\AppData\Roaming\TornTV.com\Torntv Downloader.exe /c=startup HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\...\RunOnce: [Taplika] => C:\Windows\SysWOW64\wscript.exe /E:vbscript /B "C:\Users\Masa\AppData\Roaming\Taplika\UpdateProc\bkup.dat" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX ShortcutWithArgument: C:\Users\Masa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://taplika.com/?f=1&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= HKU\S-1-5-21-4164922102-3460450381-1936108056-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKLM -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKLM -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://taplika.com/results.php?f=4&q={searchTerms}&a=tpl_tuto2_15_06&cd=2XzuyEtN2Y1L1Qzuzz0Czzzy0AyDtDtCzyyD0EyBzy0B0FyBtN0D0Tzu0StCtCtAtBtN1L2XzutAtFyBtFtBtFtDtN1L1CzutN1L1G1B1V1N2Y1L1Qzu2StDyB0CtC0C0FtA0FtGtCyByEtAtG0DtD0CtCtGtBtC0CtCtGyEzz0B0CtA0EyDyEtAyE0F0A2QtN1M1F1B2Z1V1N2Y1L1Qzu2StDyDtB0B0CtDtB0EtG0BzytCzztGyEyCtDyDtG0AyCtDtBtGyE0Bzzzy0CyD0AyDzytC0FyB2Q&cr=1211795611&ir= SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419531078&from=ild&uid=HitachiXHTS727575A9E364_J3740084HB11YEHB11YEX&q={searchTerms} SearchScopes: HKU\S-1-5-21-4164922102-3460450381-1936108056-1000 -> {589B893E-773C-4941-88C2-0DCC718E621C} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3330130&octid=EB_ORIGINAL_CTID&ISID=M00C716EB-9838-4600-A7CF-2C526BD15C9E&SearchSource=58&CUI=&UM=8&UP=SPB28B4711-4CBB-4B83-98B5-99FF36603867&q={searchTerms}&SSPV= BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Masa\AppData\Roaming\Mozilla\Firefox\Profiles\cyk539n4.default\extensions\faststartff@gmail.com StartMenuInternet: FIREFOX.EXE - firefox.exe C:\AI_RecycleBin C:\Program Files (x86)\Adblock for Gmail C:\Program Files (x86)\ApptoUa C:\Program Files (x86)\FineeDealSaOeft C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\predm C:\Program Files (x86)\SearchProtect C:\Program Files (x86)\SooftCooup C:\Program Files (x86)\SupTab C:\Program Files (x86)\SystemBoost C:\Program Files (x86)\WebbsAveER C:\ProgramData\28c34e92bb2ca7ad C:\ProgramData\2937277774088153005 C:\ProgramData\ApptoUa C:\ProgramData\CouponFactory C:\ProgramData\e8df2bc8000026f4 C:\ProgramData\IePluginServices C:\ProgramData\SharkManCoupon C:\ProgramData\Uniblue C:\ProgramData\WebbsAveER C:\ProgramData\WindowsMangerProtect C:\Users\Masa\AppData\Local\nsa6E49.tmp C:\Users\Masa\AppData\Local\nsiDDBD.tmp C:\Users\Masa\AppData\Local\proxy.log C:\Users\Masa\AppData\Local\avaxvavya C:\Users\Masa\AppData\Local\ContextTrue C:\Users\Masa\AppData\Local\Gameo C:\Users\Masa\AppData\Local\GGEmpire C:\Users\Masa\AppData\Local\Google C:\Users\Masa\AppData\Local\Pirates C:\Users\Masa\AppData\Local\SearchProtect C:\Users\Masa\AppData\Local\Sparta C:\Users\Masa\AppData\Local\StormFall C:\Users\Masa\AppData\Roaming\HBTTGY.exe C:\Users\Masa\AppData\Roaming\OKXJLUU.exe C:\Users\Masa\AppData\Roaming\AnyProtectEx C:\Users\Masa\AppData\Roaming\BRT C:\Users\Masa\AppData\Roaming\EurekaLog C:\Users\Masa\AppData\Roaming\GoldenGate C:\Users\Masa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Masa\AppData\Roaming\Pirates946 C:\Users\Masa\AppData\Roaming\Pro PC Cleaner C:\Users\Masa\AppData\Roaming\StormFall C:\Users\Masa\AppData\Roaming\Taplika C:\Users\Masa\AppData\Roaming\TornTV.com C:\Users\Masa\Downloads\Installation*.exe C:\Users\UpdatusUser\Desktop\MagnoPlayer.lnk C:\Windows\patsearch.bin C:\Windows\system32\OptimizerMonitorOff.ini C:\Windows\System32\drivers\{089299d4-0680-4375-a6a9-d9a7c9109a71}Gw64.sys C:\Windows\System32\drivers\{dcd044e6-adb7-46c3-8ece-3d3a0a33bf3a}Gw64.sys C:\Windows\System32\drivers\{e65048d8-bd76-44ed-ac28-c25d339ab590}Gw64.sys C:\Windows\System32\drivers\{feff35ba-2139-454f-bd8e-bc1ab8b3774d}Gw64.sys C:\Windows\system32\Drivers\Msft_Kernel_webinstrNHKT_01009.Wdf C:\Windows\SysWOW64\OptimizerMonitor.ini C:\Windows\SysWOW64\OptimizerMonitorOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{1991b13a} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1) /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Masa\AppData\Local CMD: dir /a C:\Users\Masa\AppData\LocalLow CMD: dir /a C:\Users\Masa\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition (Shortcut już nie jest potrzebny). Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego raportu FRST Shortcut. Rozpocznij od poprawnych deinstalacji adware i programów, w drugiej fazie będą poprawki. Akcja: 1. Przez Panel sterowania odinstaluj: - Adware: AppEnable, Search App by Ask, Yahoo! Search. - Zbędniki i stare wersje: Adobe Shockwave Player 12.1, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java 8 Update 25. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis McAfee Shared C Run-time for x64 > Dalej. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi.

Jest tu niewiarygodna ilość obiektów adware! Na początek maksymalna ilość poprawnych deinstalacji, potem będziemy poprawki robić. Do wdrożenia następujące działania: 1. Przez Panel sterowania odinstaluj adware i instalacje sponsorowane: AnyProtect, ApptoUa, BlockAndSurf, Browser Good, BubbleSound, Buzzdock, ContextTrue, ConvertAd, FineeDealSaOeft, Gameo, GamesDesktop 014.174, GamesDesktop 014.187, GamesDesktop 014.192, IGS, igsc, MagnoPlayer, McAfee Security Scan Plus, MedPLyerV1.2, Pirates, PlusHD Cinema 2.1cV02.02, Remote Desktop Access (VuuPC), Search Protect, SegmentBuilder, SharkManCoupon, SmartWeb, SooftCooup, StormFall, StormWatch, Taplika, Wajam, WebbsAveER, WinCheck, Word Proser 1.10.0.6, WSE_Taplika 2. Uruchom też te skróty deinstalacyjne: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue\DriverScanner\Uninstall DriverScanner.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WIntEnhance\Uninstall Wajam\uninstall.lnk 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

W załącznikach można umieszczać tylko pliki o rozszerzeniu *.TXT, *.LOG jest wykluczony. W instrukcji robienia raportu GMER jest powiedziane, by użyć opcję Kopiuj i zapisać do nowego pliki, wtedy nie ma problemu. By dołączyć już zapisany plik o niedozwolonym rozszerzeniu, po prostu zapisz go do nowego pliku TXT. Zestaw logów FRST niekompletny - brak trzeciego pliku FRST Shortcut. Jest w systemie duża ilość obiektów adware, na dodatek adware przekonwertowało całą przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja. Na początek maksymalna ilość poprawnych deinstalacji, a potem dopiero będą inne poprawki. Nic nowego nie instaluj na razie. 1. Przez Panel sterowania odinstaluj: - Adware: $crrUnisntlDsply$, buyfAst, CommonShare, FreeSoftToday 008.8, GPU Monitor, Update for Zip Opener, VuuPC Packages, Word Proser 1.10.0.1, Yahoo! Search. - Poszkodowaną przeglądarkę, zbędniki i stare wersje: eBay Worldwide, Google Chrome, Google Toolbar for Internet Explorer, Live Updater, McAfee Internet Security (za dużo antywirusów!), McAfee SiteAdvisor, MyFreeCodec, OpenOffice.org 3.4.1, Opera 12.15. Przed deinstalacją Chrome wyeksportuj zakładki i nic więcej. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei wpisy adware Internet Explorer Toolbar 4.7 by SweetPacks, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1 > Dalej. Narzędzie należy uruchomić trzy razy, gdyż nie umożliwia akcji hurtowej. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition i Shortcut, by powstały trzy logi.

Infekcję złapałeś otwierając prawdopodobnie e-mail z preparowanym załącznikiem. Tak, odszyfrowanie danych załatwionych przez CTB-Locker nie jest możliwe. Podaj nowe raporty FRST (główny + Addition + Shortcut), bo należy doczyścić infekcję. Antywirus - nie polecam żadnej szczególnej marki, obojętny antywirus z puli wiodących będzie OK. Do zabezpieczenia przed infekcjami szyfrującymi można zastosować małe narzędzie CryptoPrevent.

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 15-10-2014 02 (ATTENTION: ====> FRST version is 121 days old and could be outdated) Posługujesz się starym FRST pozbawionym nowych skanów i poprawek - proszę pobierz najnowszą wersję i z przyklejonego i zrób nowe logi (wszyskie trzy): KLIK. A logi OTL nie są już obowiązowe, usuwam. Od razu powiem, że infekcja CTB-Loker = odzszyfrowanie danych jest awykonalne.

Proszę o dostarczenie raportu FRST z poziomu środowiska zewnętrznego: KLIK.

1. Uruchom AdwCleaner ponownie. Wywołaj Szukaj. W karcie Folders odznacz te dwa: C:\Program Files (x86)\OneClickInternet C:\Users\Ewa\AppData\Roaming\OneClickInternet Następnie użyj opcję Usuń. Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Ewa\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\wangjihua RemoveDirectory: C:\Users\wangzhisong Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Sprawdź czy zmieni się sytuacja jeśli tymczasowo (na czas jednej rundy z resetem) trwale zdeaktywujesz moduły Kasperskiego. Nie pamiętam opcji PURE, szukaj opcji związanych z osłoną proaktywną / ochroną procesów. Fix FRST się nie wykonał do końca i zatrzymał w połowie. W spoilerze powtórka.

Wizavo, temat sprzątam z "przypominajek". Jeśli nie ma odpowiedzi, to po prostu nikt może nie mieć pomysłu jak to rozwiązać, ani czasu by się przyjrzeć sprawie. Jeśli ktoś będzie miał coś do powiedzenia, to się wypowie samodzielnie. Jeśli chodzi o problem numer dwa, to wygląda na wynik autoresetu powłoki explorer.exe. W Dzienniku zdarzeń powtarza się błąd: Application errors: ================== Error: (12/12/2014 01:09:07 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17284, sygnatura czasowa: 0x53f816dc Nazwa modułu powodującego błąd: QtCore_Ad_SyncNs_4.dll_unloaded, wersja: 4.8.2.0, sygnatura czasowa: 0x50d3fca7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000265fe Identyfikator procesu powodującego błąd: 0x5dc Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Pełna nazwa pakietu powodującego błąd: Explorer.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5 Error: (12/12/2014 00:23:41 AM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Program Explorer.EXE w wersji 6.3.9600.17284 przestał współpracować z systemem Windows i został zamknięty. Aby sprawdzić, czy jest dostępnych więcej informacji na temat tego problemu, sprawdź historię problemu w aplecie Centrum akcji w Panelu sterowania. Moduł przyczynowy: QtCore_Ad_SyncNs_4.dll. Jest to problematyczne rozszerzenie Autodesk: KLIK. Spróbuj wyłączyć zarejestrowane rozszerzenia QtCore_Ad_SyncNs_4.dll. Uruchom ShellExView x64, wyszukaj wszystkie wpisy związane z tym plikiem i wyłącz, zresetuj system. Podaj czy nadal występuje problem z niestałym układem ikon na Pulpicie. PS. Do czyszczenia są też wpisy adware. Jako, że logi zostały podane dawno temu, zrób nowe raporty FRST z najnowszej wersji (tym razem nie wyłączaj Whitelisty dla Services i Drivers).

Nie przymierzaj się do tego pobranego ComboFix. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Są tylko drobne ślady adware w Google Chrome, ale to sprawa poboczna i w ogóle się nie wiąże ze sprawą. * Z raportów nic kompletnie nie wynika. Z widocznych nowych obiektów jest niejaki USB PnP Sound Device: ==================== Installed Programs ====================== USB PnP Sound Device (HKLM-x32\...\{71B53BA8-4BE3-49AF-BC3E-07F392006300}) (Version: 1.00.0006 - C-Media Electronics, Inc.) ==================== One Month Created Files and Folders ======== 2015-02-12 15:56 - 2015-02-12 17:46 - 00000567 _____ () C:\WINDOWS\system\Cm108.ini 2015-02-12 15:56 - 2015-02-12 15:56 - 00000267 _____ () C:\WINDOWS\Cm108.ini.cfl 2015-02-12 15:56 - 2015-02-12 15:56 - 00000214 _____ () C:\WINDOWS\Cm108.ini.imi 2015-02-12 15:56 - 2015-02-12 15:56 - 00000125 _____ () C:\WINDOWS\system\Dlap.pfx 2015-02-12 15:56 - 2015-02-12 15:56 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB PnP Sound Device 2015-02-12 15:56 - 2013-01-14 04:59 - 00001917 ____N () C:\WINDOWS\Cm108.ini.cfg 2015-02-12 15:56 - 2013-01-01 13:40 - 00827904 ____N () C:\WINDOWS\system32\Cmeau108.exe 2015-02-12 15:56 - 2012-12-24 07:06 - 00000638 ____N () C:\WINDOWS\USetup.iss 2015-02-12 15:56 - 2012-11-20 04:17 - 12935168 ____N (C-Media Corporation) C:\WINDOWS\SysWOW64\CM108.dll 2015-02-12 15:56 - 2012-10-04 09:59 - 04331520 _____ (C-Media Electronics Inc) C:\WINDOWS\system32\Drivers\CM10864.sys 2015-02-12 15:56 - 2012-09-04 09:58 - 00315392 _____ (C-Media Electronics Inc.) C:\WINDOWS\system\fltr108.dll 2015-02-12 15:56 - 2012-06-06 02:56 - 00143360 ____N () C:\WINDOWS\Vmix108.dll 2015-02-12 15:56 - 2012-06-04 07:15 - 04533760 ____N () C:\WINDOWS\system32\CM108.cpl 2015-02-12 15:56 - 2009-08-18 18:00 - 00359424 ____N () C:\WINDOWS\system32\CmiInstallResAll64.dll 2015-02-12 15:56 - 2006-10-05 07:45 - 00524768 ____R (Microsoft Corporation) C:\WINDOWS\difxapi.dll 2015-02-12 15:56 - 2006-09-13 03:21 - 00200704 ____N (C-Media) C:\WINDOWS\SysWOW64\cmpa108.dll Proponuję sprawdzić co się stanie po deinstalacji tego oprogramowania. Jeśli nie będzie wyników, to na myśl przychodzi mi Przywracanie systemu do czasu, gdy nie było problemu. Są tu następujące punkty: ==================== Restore Points ========================= 28-01-2015 14:41:27 Windows Update 06-02-2015 13:18:17 Removed Droid Explorer 0.6.0.0 (x64) 11-02-2015 14:32:49 Windows Update 12-02-2015 15:56:50 Installed USB PnP Sound Device * PS. W spoilerze drobnostki do usunięcia, ale nie ma to żadnego znaczenia pod kątem problemu i w niczym nie pomoże. To do wykonania dopiero po ewentualnym Przywracaniu systemu, które wszystko by i tak odkręciło.

Jeśli chodzi o drugi temat, to został przeniesiony do właściwego działu. Dział pomocy doraźnej służy rozwiązywaniu problemów z infekcjami, a nie innych problemów systemowych. Czy zastosowałeś zalecane Przywracanie systemu i problem naprawiony? Jeśli tak, to możesz wykonać czynności zadane poniżej: W Google Chrome jest niepożądane rozszerzenie śledzące. Ale poza tym nie ma tu oznak czynnej infekcji i tylko drobne działania "kosmetyczne" do wykonania, tzn. usunięcie wpisów pustych, artefaktów wstawionych przez ComboFix oraz czyszczenie Temp. NA KONCIE ADMIN: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom. Opis dlaczego jest to niepożądane rozszerzenie (niestety po angielsku): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 RTHDMIAzAudService; system32\drivers\RtHDMIVX.sys [X] Task: {1C8C81A2-8FD5-411C-A683-A8D3DCE6AE2B} - System32\Tasks\HP Deskjet 2050 J510 series.exe_{833C6AE2-B7D3-4281-9C6A-FF73F0C59724} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HP Deskjet 2050 J510 series.exe Task: {7F102E2D-80FB-4BF3-8075-F6C0EA9BB7B5} - System32\Tasks\HPCustPartic.exe_{CF06C799-5451-41A4-BD66-798A21A5AC13} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe) Task: {83E79CF2-EA74-4458-B47C-5322737D2969} - System32\Tasks\{E30DBFBA-537F-4288-A3F7-3FD4DF584E68} => pcalua.exe -a C:\Users\Admin\Downloads\SPTD2inst-v202-x86.exe -d C:\Users\Admin\Downloads Task: {C6CDED1C-6010-4C57-BAA1-1F879A2A89CB} - System32\Tasks\Toolbox.exe_{7C24517E-973D-4D3D-A1E5-50A77BA559AF} => C:\Program Files\HP\HP Deskjet 2050 J510 series\Bin\Toolbox.exe Task: {D6B91707-BA37-4A1F-99B6-7BC952CF5F13} - System32\Tasks\{0BEF1739-245D-4D5C-AC01-ECB8CE15954A} => C:\Program Files (x86)\ezHTML\ezHTML.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3550082035-2878343640-584771193-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3550082035-2878343640-584771193-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\ProgramData\HP C:\Users\Admin\AppData\Local\HP C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Soda PDF 3D Reader.lnk C:\Users\Admin\Downloads\SPTD*.exe C:\Users\Tadeusz\AppData\Local\HP C:\Users\Tadeusz\AppData\Roaming\Mozilla CMD: sc config WinDefend start= demand Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz ynikowy log z folderu C:\AdwCleaner. NA KONCIE TADEUSZ: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj śledzący Hover Zoom. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3550082035-2878343640-584771193-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8A1D902B34AAB62C&affID=125839&tsp=5039 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Proszę nie edytuj już poprzednich postów, udzielasz odpowiedzi w nowo napisanym.

Był tu stosowany ComboFix i na ten temat: KLIK. Temat przenoszę do działu Windows. Nie jest to problem infekcji. Owszem, są tu niepożądane obiekty adware (GoodGameEmpire, PrivitizeVPN oraz zaśmiecone Google Chrome przekonwertowane przez adware ze stabilnej do developerskiej), ale to nie jest powiązane z problemami. W spoilerze masz akcje poboczne związane doczyszczaniem tych śmieci i innych szczątków (np. Firefox) plus usunięcie niekompatybilnego sterownika: System errors: ============= Error: (02/12/2015 09:42:00 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\DRIVERS\kqemu.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. 1. Zacznij od sprawdzenia głównego podejrzanego zazębiającego się ze wszystkimi opisanymi sferami, czyli ESET Smart Security. Testowo go odinstaluj i sprawdź efekty. 2. Druga sprawa: w logu główne lokalizacje mają masowo przypisany atrybut C = Compressed. Układ sugeruje, że został skompresowany cały dysk C. To nie jest dobre posunięcie przy komponentach do których jest stale wymagany dostęp i może spowalniać dostęp. Zdejmij rekursywnie kompresję z C:.

Czyszczenie w zakresie infekcji zasadniczej ukończone. Drobna uwaga: były usuwane zaszyfrowane pliki z katalogów określonych aplikacji, to nie jest poważny problem, ale gdyby ubytki obrazków / dokumentów programów objawiły się w widoczny sposób, po prostu dany program przeinstaluj. Ostatnia akcja pomyślnie wykonana. Ze względu na obiekty typu adware/PUP jeszcze dodaj na wszelki wypadek skan z AdwCleaner. Wybierz tylko opcję Szukaj i dostarcz raport z C:\AdwCleaner.