picasso

są tu następujące problemy: - System został zainfekowany - uruchamia się fałszywy proces svchost.exe, który dba o to, by podpinane urządzenia USB zostały zainfekowane. Pendrive jest zainfekowany również, foldery nie zmieniły się w pliki EXE tylko zostały ukryte, a te pliki EXE to pliki infekcji. - W przeglądarce Firefox jest adware Solution Real 1.0.1. - Poza tym, są tu zainstalowane wątpliwe skanery z czarnej listy (z daleka od tych dziadostw!) SpyHunter, YAC(Yet Another Cleaner!). Operacje do przeprowadzenia: 1. Odinstaluj wątpliwe skanery, zbędniki i stare wersje: Adobe Reader X (10.1.11) - Polish, Adobe Shockwave Player 12.1, , Facebook Messenger 2.1.4814.0 (już nie działa), IObit Toolbar v9.7, Java 7 Update 45, Java™ 6 Update 20, Java™ 6 Update 31, OpenOffice.org 3.2, SpyHunter, YAC(Yet Another Cleaner!), Yahoo! Install Manager. 2. Zakładam, że pendrive jest nadal podpięty i widoczny pod literą G:\. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000\...\Run: [system Network Service] => C:\Users\pc\AppData\Roaming\System32\svchost.exe [951808 2015-02-13] () HKLM\...\RunOnce: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {201C0670-22C5-49D4-A624-980FC9D5E537} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} SearchScopes: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000 -> {80F6F76F-0EAB-4252-B8F8-E7048BB9CA69} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=382950&p={searchTerms} FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll (Yahoo! Inc.) FF Plugin HKU\S-1-5-21-1372833441-2193563211-3988756166-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext CustomCLSID: HKU\S-1-5-21-1372833441-2193563211-3988756166-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File Task: {1027F3B3-B482-404F-AD66-97FD3081C714} - System32\Tasks\{16F19419-BDF5-4205-910E-B26C657FE8D3} => pcalua.exe -a "D:\Krzysiek\Pro Evolution Soccer 6 Rip\mk_icon.exe" -d "D:\Krzysiek\Pro Evolution Soccer 6 Rip" Task: {1D0FF6CA-40C5-49E0-B109-2D69F8079973} - System32\Tasks\{BE4E6A6A-D62C-4CFD-8FEF-78DCC89BA5AF} => Firefox.exe http://www.skype.com/go/downloading?source=installer&ver=6.21.0.104&LastError=-9 Task: {1D21BF83-B113-4382-901F-DF96E14161C6} - System32\Tasks\{37F93DC3-1B39-42B1-9684-F18FE4DAC368} => D:\Program Files\League of Legends\lol.launcher.exe Task: {213F8B95-109A-4DC1-A247-4A43C177DAF9} - System32\Tasks\{F5330131-01A0-4EB4-B150-C3187F4DC08F} => pcalua.exe -a "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "D:\Program Files\Fifa\FIFA 13\__Installer\dotnet\dotnet35sp1\redist" Task: {6588244E-C1B3-4E14-9AAD-9ABC28C6C318} - System32\Tasks\{F545566E-0B9E-4C58-89E5-0298AC9115BC} => pcalua.exe -a "D:\Program Files\ChomikPobrane\TS3\Sims3Setup.exe" -d "D:\Program Files\ChomikPobrane\TS3" Task: {8637FB7A-B1E2-4A3D-AE02-7BB19B11D1E7} - System32\Tasks\{2262BF40-438D-487D-92CC-8DCE99AC122A} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {8D5B46C0-94F8-49F3-B1DA-97B9063E563A} - System32\Tasks\{CD39F1EF-522C-42E3-A7EB-4C01A9341F47} => pcalua.exe -a "D:\Program Files\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all Task: {8F3E7E2B-A8F3-49BA-B3B7-33925E73E07F} - System32\Tasks\{0B66048D-05F0-403A-B669-6C81850D79D5} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6\vp6install.exe" -d "D:\Program Files\ChomikPobrane\The SIMS 4-Deluxe Edition-SKIDROWCRACK\__Installer\vp6" Task: {A2E78A3B-DF0B-458F-BD68-AA844D2E568B} - System32\Tasks\{DE63A1EA-2FF9-456B-A5D1-358758DBEE1E} => pcalua.exe -a "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10\Sims3EP10Setup.exe" -d "D:\Program Files\ChomikPobrane\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10" Task: {B4D6F6C8-FC70-4DB9-A32D-EF16A32891A6} - System32\Tasks\{6FEECA60-B62A-413A-9420-6BC41F26D296} => pcalua.exe -a "D:\Program Files\Nowy folder (2)\autorun.exe" -d "D:\Program Files\Nowy folder (2)" Task: {CF8F35BE-D640-4ED7-86C0-BC61484D5C58} - System32\Tasks\{EC9F7AAC-D590-46EE-A15E-D87F2D577209} => pcalua.exe -a "D:\Krzysiek\Simsy dodatki\1\Sims3EP01Setup.exe" -d "D:\Krzysiek\Simsy dodatki\1" Task: {E812B9F9-6B0C-47EA-A59D-EE7F4CA4C50C} - System32\Tasks\Ad-Aware Antivirus Scheduled Scan => D:\PROGRA~1\TERRAR~1.2CR\AdAwareLauncher.exe Task: {E9F0B250-A273-4066-909A-99188D16B028} - \SpyHunter4Startup No Task File R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [13560 2012-12-15] (GFI Software) S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S3 vtany; \??\C:\Windows\vtany.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] C:\user.js C:\ProgramData\IObit\Game Booster 3\BackLnk\*.lnk C:\Users\pc\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\pc\AppData\Roaming\System32 C:\Windows\System32\drivers\gfibto.sys D:\msdownld.tmp G:\Nowy folder.exe G:\Pola.exe CMD: attrib /d /s -s -h G:\* Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie Addition) oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

A jak jest skonfigurowana pamięć wirtualna? Z ogłoszenia:

Temat założony w niewłaściwym dziale Hardware, podaj o jakim systemie mowa, gdyż temat zostanie przeniesiony. Metoda obliczania miejsca przez zaznaczanie wszystkich pozornie widocznych obiektów jest zupełnie niewiarygodna, tym sposobem nie są obliczane elementy do których brak dostępu np. ze względu na specyficzne uprawnienia. Do diagnostyki miejsca skorzystaj z programu SpaceSniffer. Program należy wywołać przez "Uruchom jako Administrator", by pobrał dane np. o System Volume Information.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skasuj plik C:\Delfix.txt z dysku. Oczywiście możesz zainstalować najnowsze wersje programów - lista podstawowa w tym samym linku, w którym był Delfix.

Wiele "Koszy", gdyż w folderze kosza są podfoldery związane z SID konkretnego konta. Powiedz konkretnie co to za narzędzie i która akcja pokazuje te wyniki. Czy na pewno nie jest to stara zapamiętana historia wyszukiwania (która już nie ma odbicia w tym co rzeczywiście jest na dysku)? I już się gubię o czym mowa i o co Ci tu chodzi. Pierwotnie problem był nakreślony w następujący sposób: To tylko folder starego Kosza i jego usuwanie zostało podane: RemoveDirectory: Q:\$RECYCLE.BIN Z dalszej dyskusji wynika, że Ty wcale nie chcesz go usuwać, tylko szukasz w tym Koszu rzeczy, które chcesz odzyskać?!

Wątki nie na temat usuwam. System nie startuje, FRST jest robiony z poziomu RE - w tym środowisku nie ma możliwości zrobienia Addition i Shortcut, ani "pokazania pełnej listy zainstalowanych programów", chyba że skopiuje się pliki rejestru z jego systemu, podmontuje u siebie i ręcznie przejrzy cały rejestr. Log FRST sugeruje, że była wykonywana jakaś aktualizacja Windows, dużo plików Microsoftu świeżo utworzonych (pomijam te zakolorowane na szaro, to wygląda na tą Twoją podmianę): Skoro pojawił się BSOD, to jest prawdopodobne, że mamy tu do czynienia z wadliwą aktualizacją. Niestety brak konkretów, liczba plików odświeżonych zbyt duża (zresztą problem może być tak szeroki jak liczba widzianych plików), by coś z tego wyłuskać, a sam raport FRST jest bardzo selektywny (jest więcej czeluści związanych z serwisowaniem komponentów). Jedyna droga jaką widzę to Przywracanie systemu, tylko poważnym problemem jest brak kopii. Jedyny punkt Przywracania to: ==================== Restore Points ========================= Restore point made on: 2015-02-11 15:10:53 Nie wiadomo czy dostatecznie "stary", jego data niestety pasuje do ostatniego rzutu odświeżania plików (pliki się odświeżały już wcześniej). Na dodatek brak dostępu: Jaki? Poza tym, Przywracanie systemu tu było zablokowane: HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] Mówisz że klucz już usunąłeś, ale to nie ma znaczenia dla stanu bieżącego, nie dorobi nieistniejących punktów. Skąd te pliki brane? Poproszę o dowód, że zostały wstawione poprawne pliki mające identyczne sumy kontrolne jak wersje zainstalowanych komponentów. Uruchom FRST, w polu Search wklep: csrss.exe;winlogon.exe Klik w Search files i dostarcz wynikowy log. Odwróć tę edycję. Wartość SetupExecute w domyślnym stanie jest pusta. Ona się wypełnia danymi wtedy, gdy system prowadzi jakieś operacje serwisowania przy bootowaniu. Tak swoją drogą to mnie interesuje którą gałąź edytowałeś, gdyż jedyna która się liczy w Twoim układzie to: The current controlset is ControlSet002

Jesteś logowany via profil tymczasowy. Poproszę o raporty z FRST, które określą środowisko systemowe, podadzą listę kont wraz z identyfikatorami SID oraz błędy z Dziennika zdarzeń. Nie widzisz SID kont, bo przecież nawet nie rozwinąłeś klucza! Ale to nie będzie potrzebne, gdyż: Jeśli w raportach FRST nie będzie wyraźnych przeszkód, do zastosowania będzie ReProfiler przekierowywujący konto na poprzedni katalog, tak jak w tych tematach: KLIK, KLIK. Są jednak sytuacje, gdy to nie działa, bo źródło problemu to wyklucza, przykład: KLIK.

Delfix wykonał zadanie, możesz usunąć z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Dzięki wielkie za ewentualną dotację!

Jeden z problemów rozwiązany, ale jeszcze roboty przed nami. Należy system posprzątać ze śmieci i niepoprawnych instalacji. Jeśli chodzi o brak internetu, powodem jest niepoprawna deinstalacja AVG. W Menedżerze urządzeń mnóstwo zdefektowanych urządzeń sieciowych filtrowanych przez nieistniejący już sterownik AVG miniport driver. Miałeś zastosować narzędzie AVG Remover - czy na pewno ono zostało użyte? Natomiast pierwsza pozycja, czyli zdefektowany "USB Disk", to raczej z winy innych filtrów, a podejrzanych tu trochę jest - informacje o filtrach pobiorę w skrypcie FRST. ==================== Faulty Device Manager Devices ============= Name: USB DISK Description: USB Flash Disk Class Guid: {eec5ad98-8080-425f-922a-dabf3de3f69a} Manufacturer: General Service: WUDFRd Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Realtek RTL8102E/RTL8103E Family PCI-E Fast Ethernet NIC (NDIS 6.20) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (IP) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (Network Monitor) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: WAN Miniport (IPv6) - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Compact Wireless-G USB Adapter - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Compact Wireless-G USB Adapter #2 - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: Compact Wireless-G USB Adapter #3 - AVG miniport driver Description: AVG miniport driver Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: AVG Technologies Service: Avgfwdx Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Operacje do przeprowadzenia: 1. Uporządkuj sprawę kont. Usuń konto Sol (w dialogu zaznacz usuwanie danych użytkownika) oraz wyłącz konto Gość. 2. Zdejmij filtry sieciowe: Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > Zmień ustawienia karty sieciowej > po kolei na każde widoczne połączenie pobierz Właściwości > w karcie Ogólne wyszukaj obiekt AVG, zaznacz i odinstaluj. Zresetuj system. 3. Odinstaluj przez Panel sterowania stare wersje, zbędniki i adware: Akamai NetSession Interface, AVG Security Toolbar, Gadu-Gadu 10, Vuze_Remote Toolbar, Windows Media Player Firefox Plugin, YourFileDownloader. Sugeruję też od razu przewertować listę i pousuwać więcej nieużywanych programów. 4. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: S4 Browser Manager; Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [X] S3 catchme; \??\C:\Windows\system32\config\SYSTEM~1\AppData\Local\Temp\catchme.sys [X] S3 cpuz132; \??\C:\Users\Solskier\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S3 LVcKap; system32\DRIVERS\LVcKap.sys [X] S3 LVMVDrv; system32\DRIVERS\LVMVDrv.sys [X] Task: {0277A5CC-7CA8-44E2-91C9-BC51224C34BE} - System32\Tasks\YourFile Update => C:\Program Files\YourFileDownloader\YourFileUpdater.exe Task: {0F48912C-F754-4A3F-A91C-5CFD66F4F647} - System32\Tasks\{00DAA81E-B8A2-4288-930C-F0A83073AF27} => pcalua.exe -a G:\Drivers\VGA\AsusSetup.exe -d G:\Drivers\VGA Task: {28AA3242-0D34-4BD8-991A-599F99471F57} - System32\Tasks\Browser Manager => Sc.exe start Browser Manager Task: {36AD32E0-FA7D-489A-A059-84F5DCFCEE32} - System32\Tasks\{9A4D0A0E-CA95-4771-9B3A-AD4141988CFE} => pcalua.exe -a G:\Software\DirectX\AsusSetup.exe -d G:\Software\DirectX Task: {3BD0DC3F-6F3E-4D87-A9AA-A82A09D853CE} - System32\Tasks\{5FF585DD-E372-4400-A3A6-F76B5E5635D9} => pcalua.exe -a G:\Drivers\Audio\AsusSetup.exe -d G:\Drivers\Audio Task: {53AB78D9-EC78-4FB4-AA24-2A6D44E449D0} - System32\Tasks\{F9088CA0-4F4A-4BB6-ABDE-1A15B7EAC697} => pcalua.exe -a G:\autorun.exe -d G:\ Task: {5AFDE8B1-FDE7-47BA-BF9E-FB306FE3B96E} - System32\Tasks\{267B9635-2732-4379-BAAE-88EEBA4E0C9C} => pcalua.exe -a G:\Software\AntiVirus\AsusSetup.exe -d G:\Software\AntiVirus Task: {681285EA-860D-48EE-82E0-1BEF3FE5EA90} - System32\Tasks\{1FAA204A-E672-45EC-B6D5-7198BCF157D0} => pcalua.exe -a "C:\Users\Solskier\Desktop\New folder\ATISetup.exe" -d "C:\Users\Solskier\Desktop\New folder" Task: {898CB1B7-56D6-4198-B02A-C981ABDA4561} - System32\Tasks\{34AA7B63-D4CB-4A3A-8D5E-57B042C38520} => pcalua.exe -a G:\Software\ProbeII\AsusSetup.exe -d G:\Software\ProbeII Task: {9B58A5BA-B2E9-4941-83AC-0456AEECACBC} - System32\Tasks\{EFB16370-9AE3-4CFB-9C10-92846373CBB3} => pcalua.exe -a G:\Drivers\VGA\32bit\AsusSetup.exe -d G:\Drivers\VGA\32bit Task: {AE477224-A9D9-4BB6-8320-4A296C4573D0} - System32\Tasks\{4024BF99-9CA8-4B11-B617-165D43F0F628} => pcalua.exe -a G:\Software\Photoimpact\AsusSetup.exe -d G:\Software\Photoimpact Task: {CAC169EB-CA98-4F7E-9DC3-216DCC54471E} - System32\Tasks\{326C7F0E-4D2E-4F74-8BC5-152A488D7AB1} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.457/pl/abandoninstall?page=tsMain Task: {E5C1EE6E-6711-4F66-B876-01FDE3B5383B} - System32\Tasks\{261711DB-5E53-4435-8147-38BFC7AFA7F3} => pcalua.exe -a G:\Drivers\Chipset\AsusSetup.exe -d G:\Drivers\Chipset Task: {FEF61103-4F88-42D4-A9C5-7DEC3AD37CB0} - System32\Tasks\{7FEA2E0E-3212-44EC-8942-080317546EF3} => pcalua.exe -a C:\Users\Solskier\Desktop\mp3DC211.exe -d C:\Users\Solskier\Desktop HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\...\Run: [vProt] => "C:\Program Files\AVG Secure Search\vprot.exe" HKLM\...\RunOnce: [AvgUninstallURL] => cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBJAC0AQQA3AEEAVwBQAC0AMwBYAEoAQQBZAC0AUwA4ADkAOQBSAC0ATgBaAEsATgBNAC0ATgBLAE4AUABRAA"&"inst=NwA2AC0AMQA3ADYANwAyADIAMwA (the data entry has 288 more characters). HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Norton Download Manager{NIS_prod_1.19_17.1.0.19}] => C:\Users\Public\Downloads\Norton\{NIS_prod_1.19_17.1.0.19}\NISDownloader.exe /m HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Gadu-Gadu] => "C:\Program Files\Gadu-Gadu\gg.exe" /tray HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Solskier\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.) HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Run: [sandboxieControl] => "C:\Program Files\Sandboxie\SbieCtrl.exe" HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=18&barid={F71C97B2-2CEE-41BB-9487-652FA1F78108} HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={A3941D90-5CCA-4279-86D7-EFE49F2DC9DF}&mid=fdcd1e8b47ae92546b5ae9c147489c20-92f024072bd69f5f933d077302c428474e377c46&lang=pl&ds=xn011&pr=sa&d=2012-09-24 11:18:52&v=13.2.0.5&sap=hp HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://search.babylon.com/?affID=110823&tt=120912_pcp_3912_4&babsrc=HP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://isearch.babylon.com/?affID=112560&tt=031012_ccp_4012_6&babsrc=HP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 HKU\S-1-5-21-682935528-494026121-326331953-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.pl/ URLSearchHook: HKLM - (No Name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No File URLSearchHook: HKU\S-1-5-21-682935528-494026121-326331953-1001 - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File URLSearchHook: HKU\S-1-5-21-682935528-494026121-326331953-1001 - (No Name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No File SearchScopes: HKLM -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=&&st=23&did=10963&UPN2=92545056983517215 SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=112560&tt=031012_ccp_4012_6&babsrc=SP_ss&mntrId=9ce9ab4200000000000000248ce5ae70 SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=73B7FCC5-78D5-4EC0-86CD-B4A4ABFD6B3B&apn_sauid=5F1A284E-D19D-4AA7-9190-020F0266CDCD SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={A3941D90-5CCA-4279-86D7-EFE49F2DC9DF}&mid=fdcd1e8b47ae92546b5ae9c147489c20-92f024072bd69f5f933d077302c428474e377c46&lang=pl&ds=xn011&pr=sa&d=2012-09-24 11:18:52&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://mysearch.sweetpacks.com?src=6&q={searchTerms}&barid=&&st=23&did=10963&UPN2=92545056983517215 BHO: No Name -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> No File BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File Toolbar: HKLM - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File Toolbar: HKLM - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File Toolbar: HKU\.DEFAULT -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKU\S-1-5-21-682935528-494026121-326331953-1001 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{0F130AC8-CDF1-4DAA-AA9B-7B4083F49EA4}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\PtContainerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{492042A2-4432-44A1-9A39-85B2D3C0119E}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\PtContainerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{876FA801-2B5E-4201-9E6B-2EF2C05A5C6B}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarAPI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{89425F5E-A2BD-44CD-9E4F-F1498522F0E5}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarManagerUI.dll No File CustomCLSID: HKU\S-1-5-21-682935528-494026121-326331953-1001_Classes\CLSID\{F6F8856F-374D-4397-BB1C-80AB57E60529}\InprocServer32 -> C:\Program Files\Titan Poker\widgetbar\WidgetbarAPI.dll No File FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.9\\npsitesafety.dll No File FF Plugin: @java.com/DTPlugin,version=10.21.2 -> C:\Windows\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml FF HKLM\...\Firefox\Extensions: [{6E19037A-12E3-4295-8915-ED48BC341614}] - C:\Program Files\RelevantKnowledge FF HKLM\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.1.9.799 FF HKU\S-1-5-21-682935528-494026121-326331953-1001\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - Browser Manager\2.3.762.17\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [Not Found] CHR HKLM\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\18.1.0.443\avg.crx [2014-04-28] CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\mjcm\SweetNT.crx [2014-07-16] CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - Browser Manager\2.3.762.17\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx [Not Found] C:\AVG9 C:\Program Files\Common Files\Symantec Shared C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Sandboxie C:\Program Files\YourFileDownloader C:\ProgramData\Arcabit Skaner Online C:\ProgramData\Arcabit C:\ProgramData\Symantec C:\ProgramData\Microsoft\Windows\GameExplorer\{322BB430-48EB-40F3-BECF-5921EDBD74E0} C:\ProgramData\Microsoft\Windows\GameExplorer\{438B3E66-AB74-465B-8BFF-F002558BF721} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\YourFileDownloader C:\Users\Solskier\AppData\Local\Temp*.html C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Solskier\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\Solskier\AppData\Local\Microsoft\Windows\GameExplorer\{C6F9DB05-6406-415F-922A-5D796713D13B} C:\Users\Solskier\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Przeglądarka internetowa w piaskownicy.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\179f7dcebf7e9bac\[DefaultBox] Tibia Player.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\SendTo\Evernote3.5.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\SendTo\Sandboxie - DefaultBox.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Gadu-Gadu.lnk C:\Users\Solskier\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Browser Manager C:\Users\Solskier\Desktop\Pliki\New folder\AVG 9.0.lnk C:\Users\Solskier\Desktop\Pliki\New folder\Tibia - Shortcut.lnk C:\Users\Solskier\Desktop\Pliki\New folder\Tibia MULTI-IP Changer.lnk C:\Users\Solskier\Desktop\Pliki\pliki\Pokerowy kalendarzyk.lnk C:\Windows\system32\%LocalAppData% C:\Windows\system32\ARFC C:\Windows\system32\mjcm CMD: for /d %f in (C:\Users\Solskier\AppData\Local\{*}) do rd /s /q "%f" CMD: sc config WinDefend start= demand Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{EEC5AD98-8080-425F-922A-DABF3DE3F69A} /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Wyczyść przeglądarki ze śmieci i adware: ----> W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia później przeinstalujesz (Adblock Plus, Greasemonkey, Stylish). ----> W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AVG Secure Search, SweetIM for Facebook, SweetPacks Chrome Extension Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt

Nie chodziło mi o log OTL (usuwam), tylko log z wynikami skryptu OTL z folderu C:\_OTL. Co było robione już jednak wiem z tematu na innym forum. Uwaga co do tego co próbowano robić wcześniej: Wracając tu do tematu: 1. Mówiłam, by na razie tylko odinstalować stare wersje Adobe i Java, nie instalować jeszcze nowych. Pośpieszyłeś się, a poprzednie zadanie nie zostało wykonane do końca. Na liście zainstalowanych widać nadal starą niebezpieczną wersję Java™ 6 Update 31. To do deinstalacji. 2. Google Chrome wprawdzie odinstalowany, ale i tak niekompletnie (pozostał ukryty aktualizator oraz cały profil na dysku). Pod tym kątem + inne drobnostki: ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Google Update Helper > Dalej. ----> Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Google C:\Users\samuel\AppData\Local\Google S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Nadal jest notowane uszkodzenie WMI. Czy na pewno importowałeś plik FIX.REG? Nie widzę śladów w logu, byś nawet zapisywał ten plik. ==================== Restore Points ========================= Check "winmgmt" service or repair WMI.

Brakuje nowego raportu:

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj. Posty skleiłam. Proszę trzymaj się konfiguracji FRST opisanej w przyklejonym - opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Deinstalacja YAC pomogła, ale tu jeszcze są roboty do przeprowadzenia. Deinstalując Spybota nie skonfigurowałeś go, by odwrócił modyfikację pliku HOSTS (archaiczna metoda zabezpieczeń). Obecnie plik parsuje kilka tysięcy wpisów. To nie jest zdrowe i obciąża usługę Klient DNS. W krytycznym przypadku może prowadzić do gorszych efektów, jak zawieszenie aplikacji i całego systemu. Przykład: KLIK. Jest notowane także naruszenie WMI systemowego: ==================== Restore Points ========================= Check "winmgmt" service or repair WMI. Wstępnie do korekty HOSTS, WMI, stare aplikacje i śmieci (puste wpisy i Tempy): 1. Odinstaluj starocie: Adobe Flash Player 11 ActiveX, Adobe Flash Player 15 Plugin, Java™ 6 Update 31, Microsoft Silverlight, OpenOffice.org 3.3. Na razie nic nowego nie instaluj, to na końcu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {02342BA8-1F97-4486-B73F-CCCFB6EAB614} - System32\Tasks\{A3ADDE34-A69A-443E-868B-1157B8650D50} => C:\Program Files (x86)\uTorrent\uTorrent.exe Task: {08CA7C71-9203-4DB5-B98F-744DE3664F9F} - System32\Tasks\{49AB9473-0DA4-4438-A335-938FB4E6277D} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {0E647A55-E4D5-4428-A945-48A43E1B6394} - System32\Tasks\{4F99C9D9-7C34-4232-A9D7-7504419865E6} => C:\Program Files (x86)\Ubisoft\Gearbox Software\BrothersInArms\System\bia.exe Task: {11199485-6F04-44C8-9F2F-E78B46F26D3E} - System32\Tasks\{D3CE1147-71A8-4872-8D83-3E4C1F5876E3} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1603 Task: {191A5B15-3DCE-4D94-8996-4DFA13C2B2C3} - \Microsoft\a3d90235e1136671ab1195c6078184ff No Task File Task: {1EFE367F-B190-4C82-A94C-CF5637158907} - System32\Tasks\{F1FF7067-69CC-49D9-BEB0-5358CA94C3A1} => pcalua.exe -a C:\Users\samuel\Desktop\WDM_R256.exe -d C:\Users\samuel\Desktop Task: {21D3EF7E-4F67-4C5E-A56F-35CB707134F1} - System32\Tasks\{2D4353D4-60E6-439C-AD19-76A6547FF299} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {2457ABC6-EB07-48E9-9EBF-3E0C9260F1CD} - System32\Tasks\{C665546C-DF02-4E92-BEB6-813D16334E3D} => pcalua.exe -a "C:\Users\samuel\Downloads\Foxit PDF Editor(1).exe" -d "C:\Program Files (x86)\Mozilla Firefox" Task: {24E3E8C9-E9FB-4097-9091-4BD30CEB0514} - System32\Tasks\{5B6E5AFA-B9AD-4D55-AFC7-BE56532FF56F} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {3D5F7AD1-F88B-4BB7-877B-E3ECF6233414} - System32\Tasks\{313A6ECC-109E-4AE3-B793-A18CCEF0DD85} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {5764AD4A-0586-4F21-8EC0-841BC49FEC17} - System32\Tasks\{E7BD2750-ACB0-4066-AC6C-48FBB50F1DC7} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2sp_s.exe Task: {57A75B0B-C7A9-4F11-A5B8-BA54D58A9898} - System32\Tasks\{AF56E460-FF57-4969-8597-8794D4D515E6} => pcalua.exe -a F:\autorun.exe -d F:\ Task: {81BECB83-7570-4718-B024-FBC5071E87AF} - System32\Tasks\{FF881A25-8E88-4169-BFC2-EE27CC6DEB25} => pcalua.exe -a C:\Users\samuel\Downloads\LCVA_PCDrv_US_1_11_02.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {8A61FF7C-D949-47FC-9172-A46415DFE2F2} - System32\Tasks\{C22A0D16-2044-40D4-AF92-23EF5EA1BB51} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe Task: {976C87CF-DF58-4847-8AA2-7E8173A83929} - System32\Tasks\{28417D02-EBFD-41EA-B0E8-0B5F8F1ADA8D} => pcalua.exe -a C:\Users\samuel\Desktop\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Desktop Task: {A7DC78F7-0BE7-447E-A160-5BFFD1B4AF78} - System32\Tasks\{07D26930-5FD6-4823-A585-C3859560237B} => pcalua.exe -a C:\Users\samuel\Desktop\hookanalyzer.exe -d C:\Users\samuel\Desktop Task: {AB0F3DE5-A4C1-49B5-8F64-95830E4364DC} - System32\Tasks\{B82254B4-0D89-4F34-85B2-0DC1E9C3737A} => pcalua.exe -a C:\Users\samuel\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=amt Task: {B09C147F-D510-4D7E-8A93-619213A2A2BE} - \QtraxPlayer No Task File Task: {BB001966-9469-4BB0-B351-4F2773E57A57} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File Task: {CABC753A-19C2-4EDA-9A57-B18F2C040742} - System32\Tasks\{27C34344-F5D7-4B1C-947A-76C691E7525C} => pcalua.exe -a C:\Users\samuel\Downloads\xampp-win32-1.7.4-VC6-installer.exe -d C:\Users\samuel\Downloads Task: {D71E0FAD-2E0B-4329-B1FE-193666669EB8} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File Task: {D810D586-B7EB-4647-9342-2614B6B70338} - System32\Tasks\Games\UpdateCheck_S-1-5-21-1222532900-2107887203-1818822403-1001 Task: {D93856B1-BDAC-4B9D-B078-75CD068192D7} - System32\Tasks\{5872F498-6809-4661-B77B-EEC5C706781C} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {E5903908-6724-42EE-9EE0-FEDF24A7D0ED} - System32\Tasks\{48918098-EC4C-41E7-B2C3-C8452722B4C3} => C:\Program Files (x86)\Activision\Call of Duty 2\cod2mp_s.exe Task: {EA834288-635E-4327-9996-A60CBE2D5546} - System32\Tasks\{B926C8C1-52B1-480A-A448-7612E5C2B4A6} => msiexec.exe /package "C:\Users\samuel\Downloads\eav_nt64_plk.msi" Task: {EB9AAAD2-475F-46BA-BA85-B5DAFAC98A22} - System32\Tasks\{F85E9ECB-762F-48CD-8E26-BF2E147CB6BF} => C:\Program Files (x86)\uTorrent\uTorrent.exe Task: {F59D6180-9127-4189-B324-66E77FD61BE2} - System32\Tasks\{38B14F9A-AD01-400F-ADA8-1B21C4F47B85} => C:\Program Files (x86)\Team17\Worms Armageddon\WA.exe HKU\S-1-5-21-1222532900-2107887203-1818822403-1001\...\Run: [HW_OPENEYE_OUC_PLAY ONLINE] => C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe [110592 2009-04-14] (Huawei Technologies Co., Ltd.) BootExecute: autocheck autochk * sdnclean64.exe S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\samuel\AppData\Local\Temp\crx8C1D.tmp [Not Found] CHR HKLM-x32\...\Chrome\Extension: [hidjnkeodmholilgafgdlgmgggbhnigl] - C:\Users\samuel\AppData\Roaming\SimilarSites\similarsites.crx [Not Found] C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\APN C:\ProgramData\Spybot - Search & Destroy C:\Users\admin\AppData\Roaming\Elex-tech C:\Users\admin\Desktop\install_flashplayer16x32_mssd_aaa_aih.exe C:\Users\admin\Downloads\jxpiinstall.exe C:\Users\samuel\AppData\Local\{1DD15D88-7754-4AD0-A18C-27393E714A3B} C:\Users\samuel\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samuel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci (2).lnk C:\Users\samuel\Downloads\spybot-2.4.exe C:\Windows\pss\fabulous_08150939.lnk.Startup C:\Windows\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\fabulous_08150939 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdGuardianDefaultInstance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\FirebirdServerDefaultInstance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\OMSI download service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^samuel^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^fabulous_08150939.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fabulous_08150939" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config FoxitCloudUpdateService start= demand CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 5. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponowie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Poza tym, tu było coś kombinowane, są ślady uruchamiania jakiegoś skryptu do OTL - proszę mi podać link do tematu na tym innym forum oraz log z folderu C:\_OTL (by log wszedł w załącznik, należy mu zmienić nazwę z *.LOG na *.TXT).

Trzeba nanieść poprawki na wyniki AdwCleaner. Nie wszystkie wyniki są do usunięcia (fałszywe alarmy na OneClickInternet, trzeba przewertować też wyniki z rejestru czy aby nie ma czegoś poiązanego). Na przejrzenie raportu potrzebuję trochę czasu. Na razie skomentuję: Ta część tycząca Google Chrome nie została poprawnie wykonana: AdwCleaner widzi nadal wyszukiwarki search.delta-homes.com + default-search.net. Usuń je z poziomu opcji Google Chrome.

Do usunięcia jeszcze przestarzały Spybot - Search & Destroy 2. Następnie wróć do instrukcji tworzenia raportów i dostarcz komplet logów. FRST tworzy trzy logi.

Program nie został poprawnie pobrany, plik jest uszkodzony. Należy pobrać ponownie. Ale zanim to zrobisz, przygotuj grunt: - Odinstaluj wątpliwy YAC (Yet Another Cleaner) - to jest podejrzany program i może tworzyć problemy. Temat z forum: KLIK. Deinstalacja szkodnika YAC już może pomóc usprawnić system. - Odinstaluj przestarzały Spybot - Search & Destroy 2. - Wyłącz osłony Avast. Heurystyka Avast obecnie uniemożliwia pobranie FRST (klasyfikuje jako "malware" i blokuje ściąganie).

Nie wygląda na to, by Zoek cokolwiek zrobił. Klucz zostanie usunięty za pomocą FRST. Do Notatnika wklej: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Detekcje są błahe, lecz zgodne z prawdą. To są po prostu wykryte instalatory mające adware / niechciane instalacje dodatowe: - CDBurnerXP: integracja platformy reklamodawczej OpenCandy. Należy pobierać wersję bez sponsora. - Alcohol 120%: wymuszanie instalacji Smart File Advisor. Detekcja wielokrotna, gdyż ESET wykrył pobrany instalator, jego fragment w Tempach oraz Koszu, plus link dobrychprogramów. Notabene, uwaga na dobreprogramy.pl i inne portale: KLIK. Oznak infekcji brak, ale możesz wykonać kosmetykę pustych wpisów i czyszczenie Temp. W Addition są też następujące zgłoszenia: ==================== Restore Points ========================= ATTENTION: System Restore is disabled. Check "winmgmt" service or repair WMI. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Następnie włącz Przywracanie systemu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2660333226-2956138994-4221737075-1000\...\Run: [Power2GoExpress] => NA BootExecute: autocheck autochk * sdnclean64.exe ProxyServer: [s-1-5-21-2660333226-2956138994-4221737075-1001] => localhost:8080 SearchScopes: HKU\S-1-5-21-2660333226-2956138994-4221737075-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 BcmSqlStartupSvc; No ImagePath U2 CLKMSVC10_3A60B698; No ImagePath U2 CLKMSVC10_C3B3B687; No ImagePath U2 DriverService; No ImagePath U2 IAStorDataMgrSvc; No ImagePath U2 iATAgentService; No ImagePath U2 idealife Update Service; No ImagePath U3 IGRS; No ImagePath U2 IviRegMgr; No ImagePath U2 Oasis2Service; No ImagePath U2 PCCarerService; No ImagePath U2 ReadyComm.DirectRouter; No ImagePath U2 RichVideo; No ImagePath U2 RtLedService; No ImagePath U2 SeaPort; No ImagePath U2 SoftwareService; No ImagePath U3 SQLWriter; No ImagePath U2 wlidsvc; No ImagePath C:\Users\Pit\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\UpdatusUser\Desktop\*.lnk RemoveDirectory: D:\$RECYCLE.BIN Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: sc config WinDefend start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, ale dostarcz tylko nowy plik Addition. Dołącz też plik fixlog.txt.

Próbując rozwiązać problem zainstalowałeś program z czarnej listy - SpyHunter. Z daleka od tego wątpliwego produktu! Infekcję Surfvox nabyłeś przypuszczalnie z jakiejś lewej paczki pobranej z torrent lub innego podejrzanego źródła. Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj SpyHunter i starą wersję Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-922980303-2826830891-3979983212-1001\...\Run: [nvxasync] => C:\Users\Marek Markiewicz\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-11] () HKU\S-1-5-21-922980303-2826830891-3979983212-1001\...\Winlogon: [shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-11] () InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\more.url -> hxxp://adf.ly/pRzv6 InternetURL: C:\Users\Marek Markiewicz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VLC Helper.com.url -> C:\ProgramData\vlc_64.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; \SystemRoot\system32\DRIVERS\ewusbdev.sys [X] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKU\S-1-5-21-922980303-2826830891-3979983212-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surfvox.com/ SearchScopes: HKU\S-1-5-21-922980303-2826830891-3979983212-1001 -> DefaultScope {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-922980303-2826830891-3979983212-1001 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = http://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 CHR HomePage: Default -> hxxp://www.surfvox.com/ CHR StartupUrls: Default -> "hxxp://www.surfvox.com/" CHR DefaultSearchKeyword: Default -> surfvox.com CHR DefaultSearchURL: Default -> http://www.google.com/?cx=partner-pub-0900663996874144%3A6813731868&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.surfvox.com%2F&ref=&ss= C:\ProgramData\vlc_64.exe C:\ProgramData\nvxasync C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Real Boxing C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VobSub C:\Users\Marek Markiewicz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek Markiewicz\AppData\Roaming\chportu C:\Users\Marek Markiewicz\AppData\Roaming\nvxasync C:\Users\Marek Markiewicz\AppData\Roaming\Microsoft\Word\siwz_10.02.2015%20wod-kan304268852970682016\siwz_10.02.2015%20wod-kan.doc.lnk C:\Users\Marek Markiewicz\Downloads\SpyHunter 4.12.13.4202 + Patch C:\Users\Marek Markiewicz\Downloads\SpyHunter* C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v more.url /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Nvtmru /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy fałszywą wyszukiwarkę Google która kieruje do surfvox.com: hxxp://www.google.com/?cx=partner-pub-0900663996874144%3A6813731868&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.surfvox.com%2F&ref=&ss=. Nie ruszaj poprawnej wyszukiwarki Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt,

Skan FRST wykazuje rozwalone klasy związane z asygnacją domyślnej przeglądarki. Operacja wstępna: 1. Na początek spróbuj przeładować ustawienia za pomocą opcji, dwukrotnie je przebijając. - Panel sterowania > Sieć i Internet > Opcje internetowe > Programy > Ustaw jako domyślny. - W Operze: Ustawienia > Ustaw przeglądarkę Opera jako domyślna. 2. Po tej akcji nowy skan FRST - do Notatnika wklej: Reg: reg query HKCU\Software\Classes\.crx /s Reg: reg query HKCU\Software\Classes\.htm /s Reg: reg query HKCU\Software\Classes\.html /s Reg: reg query HKCU\Software\Classes\.nex /s Reg: reg query HKCU\Software\Classes\.shtml /s Reg: reg query HKCU\Software\Classes\.xht /s Reg: reg query HKCU\Software\Classes\.xhtml /s Reg: reg query HKCU\Software\Classes\ftp /s Reg: reg query HKCU\Software\Classes\http /s Reg: reg query HKCU\Software\Classes\https /s Reg: reg query HKCU\Software\Classes\OperaStable /s Reg: reg query HKLM\SOFTWARE\Classes\.crx /s Reg: reg query HKLM\SOFTWARE\Classes\.htm /s Reg: reg query HKLM\SOFTWARE\Classes\.html /s Reg: reg query HKLM\SOFTWARE\Classes\.nex /s Reg: reg query HKLM\SOFTWARE\Classes\.shtml /s Reg: reg query HKLM\SOFTWARE\Classes\.xht /s Reg: reg query HKLM\SOFTWARE\Classes\.xhtml /s Reg: reg query HKLM\SOFTWARE\Classes\ftp /s Reg: reg query HKLM\SOFTWARE\Classes\htmlfile /s Reg: reg query HKLM\SOFTWARE\Classes\http /s Reg: reg query HKLM\SOFTWARE\Classes\https /s Reg: reg query HKLM\SOFTWARE\Classes\OperaStable /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. W zależności od wyników uzupełnię brakujące dane podając import rejestru.

Błędy: "Odmowa dostępu" GMER oraz "Error saving file" FRST = COMODO blokuje pracę narzędzi uniemożliwiając ich poprawne uruchomienie. COMODO musi zostać wyłączony na czas uruchamiania skanu. Nie, to są tylko śmieci typu adware/PUP i normalny format je oczywiście usunie. System będzie zmieniany, ale mimo to doczyść obecny XP, by dało się komfortowo przygotować do migracji. Zanim podam instrukcje doprecyzuj: Czy logi FRST na pewno pochodzą z czasu po deinstalacji? Ja nadal widzę na liście Dodaj/Usuń programy dokładnie te same pozycje, które jakoby zostały odinstalowane. Jeśli logi nie są świeże, musisz zrobić nowe raporty FRST odbijające wprowadzone zmiany, na starych nieaktualnych danych nie można pracować. Poza tym, skoro był używany AdwCleaner, to dołącz logi z folderu C:\AdwCleaner.

Na temat Komputer Świat i podobnych: KLIK. Obecnie pobieranie z portali nie jest bezpieczne. Szukanie FRST nic nie wnosi do sprawy - ten drugi log pokazujący tylko wyniki z lokalnego cache HTML5 już nieaktualny, gdyż nastąpiła reinstalacja przeglądarki. Skoro przeinstalowanie Google Chrome pomogło, to na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

W innym temacie sprawdziłam już log z Process Monitor i nic z niego nie wynika - brak jawnego modułu czy innego widocznego obcego elementu. Mnie się wydaje, że adware podmienia któryś z globalnych plików Chrome (problem się przenosi na nowe profile, ale pomaga reinstalacja przeglądarki). Problem występuje tylko w Chrome, w innych przeglądarkach nie. Nie mam instalatora tego dziadostwa, by to sprawdzić.

Podaj link skąd był pobierany ten "downloader youtube". Posiadanie instalatora adware ułatwiłoby mi zadanie. W logu Process Monitor żadnych wyraźnych informacji. Nie wiem jaką metodą adware się ładuje, skoro już brak procesów Positive Finds, ale objawy sugerują injekcję skryptu / podmianę któregoś manifestu Chrome. 1. Dodaj jeszcze szukanie na frazy tytułowe: ----> Uruchom FRST i w polu Search wklej: positivefinds;positive finds Klik w Search Registry i dostarcz wynikowy log. ----> Uruchom FRST i w polu Search wklej: *positive* Klik w Search Files i dostarcz wynikowy log. 2. W związku z faktem, że problem występuje także na nowym profilu Chrome, do wdrożenia całkowita reinstalacja przeglądarki: Wyeksportuj tylko i wyłącznie zakładki. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję: KLIK. Zaimportuj zakładki, nie instaluj żadnych rozszerzeń. Podaj czy problemy nadal występują. Również potwierdź, że problem nie występuje na Internet Explorer.

Nic z tego nie wynika, tylko tyle widać, że w Chrome "Local Store" przekierowanie gromadzi dane, ale to jest tylko cache. 1. Nagraj log czasu rzeczywistego co się dzieje podczas aktywności przeglądarki. Zamknij przeglądarkę Google Chrome. Uruchom Process Monitor. Następnie uruchom Google Chrome i otwórz stronę wyświetlającą reklamy, poczekaj aż się wyświetlą wszystkie szkodliwe elementy. Na koniec zatrzymaj nagrywanie w Process Monitor ikonką lupki na pasku narzędzi i zapisz log PML. Plik ten spakuj do ZIP, shostuj gdzieś i podaj do tego link. 2. Sprawdź czy problem występuje na nowym profilu Google Chrome: Menu ustawienia > Ustawienia > Osoby > Dodaj osobę > uruchom ten profil (po uprzednim przeładowaniu przeglądarki Google Chrome).