picasso

Mogliśmy jest powalczyć z błędami, ale uważam że podjęte konkretne całościowe działania z Recovery i formatem to znacznie lepszy pomysł. Infekcje były usunięte dobrze, ale nie ich wszystkie skutki (szyfrowanie). Na koniec: 1. Dla bezpieczeństwa zmień wszystkie dane logowania w serwisach (bank, poczta, serwisy społecznościowe, etc). 2. Jeśli chodzi o zabezpieczanie, to dowolny antywirus z tych popularnych będzie OK, byle nie niszowe mało znane rozwiązania lub "chińskie" produkcje. Natomiast możesz się zainteresować dodatkowymi metodami zabezpieczeń: - CryptoPrevent (dostępna wersja darmowa): specjalizacja w ochronie przed infekcjami szyfrującymi, na bazie polityk oprogramowania (utylizacja funkcji wbudowanej w Windows). - Malwarebytes Anti-Exploit (dostępna wersja darmowa): w wersji darmowej ochrona przeglądarek oraz Java przed eksploitami / atakami. - SandBoxie (trial 30-dni, z programu nadal można korzystać po, ale nagscreen): wirtualne środowisko, piaskownica.

Fix wykonany. Skasuj G:\FRTST. Następnie zastosuj DelFix, usuń też wszystkie Java i zastąp najnowszą wersja: KLIK.

Na zakończenie: 1. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE8. Wszystko rozpisane tu: KLIK. 2. Proponuję też dorzucić do G Data mini program Malwarebytes Anti-Exploit.

Fix się zatrzymał, bo nie wykonałeś zaleceń zgodnie ze wskazówkami. Mówiłam: A Ty próbowałeś wykonać Fix w Trybie awaryjnym: Boot Mode: Safe Mode (with Networking) Instrukcja była ścisła, druga komenda (CreateRestorePoint:) działa tylko i wyłącznie w Trybie normalnym. Jej użycie w Trybie awaryjnym powoduje zatrzymanie Fix na tej komendzie na nieskończoności. Ale dlaczego uruchamiałeś ComboFix!? To jest zbędne, program nie będzie tu wcale używany, nie jest potrzebny i nic nie rozwiąże. Mnie chodziło tylko i wyłącznie o logi już nagrane wcześniej w folderze C:\Qoobox, by sprawdzić co robiłeś. Następnie: świeży log z FRST nie wykazuje żadnych zmian, ESET Smart Security działa pełną parą. W jaki sposób był użyty ESET Uninstaller? Narzędzie zostało źle zastosowane, skoro w sytemie brak zmian i ESET jest nadal widoczny. 1. W Trybie awaryjnym (bez obsługi sieci!) do powtórzenia ESET Uninstaller. Zaprezentuj na zrzutach ekranu jak reagujesz na dialogi. 2. W Trybie normalnym do wykonania poprzedni Fix do FRST. 3. W Trybie normalnym zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

Poprawki pod kątem szczątków adware i odinstalowanych aplikacji: 1. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File C:\Program Files\Enigma Software Group C:\Program Files\Google C:\Program Files (x86)\1ClickDownload C:\Program Files (x86)\ALLPlayer C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\ipla C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\smartdl C:\Program Files (x86)\SubEdit-Player C:\Program Files (x86)\Temp C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\7ed2981b-e8b2-4b44-8eca-c85b04d13119 C:\ProgramData\abdf0a2942257a10 C:\ProgramData\Adobe C:\ProgramData\Evernote C:\ProgramData\IHProtectUpDate C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Partner C:\ProgramData\Premium C:\ProgramData\Sun C:\ProgramData\Uninstall C:\Users\kamila\AppData\Local\Adobe C:\Users\kamila\AppData\Local\ALLPlayer C:\Users\kamila\AppData\Local\ChomikBox C:\Users\kamila\AppData\Local\Medycyna_Praktyczna C:\Users\kamila\AppData\Local\Opera Software C:\Users\kamila\AppData\LocalLow\Adobe C:\Users\kamila\AppData\LocalLow\Sun C:\Users\kamila\AppData\LocalLow\Temp C:\Users\kamila\AppData\Roaming\Adobe C:\Users\kamila\AppData\Roaming\Auslogics C:\Users\kamila\AppData\Roaming\EurekaLog C:\Users\kamila\AppData\Roaming\GofinDruki C:\Users\kamila\AppData\Roaming\ipla C:\Users\kamila\AppData\Roaming\Opera Software C:\Users\kamila\AppData\Roaming\Systweak C:\Users\kamila\AppData\Roaming\TP Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f CMD: sc config WinDefend start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i pokaż wynikowy log z folderu C:\AdwCleaner.

1. Jedyny wynik z dysku C to C:\Windows\FixCamera.exe i to wygląda na fałszywy alarm, ale plik nieistotny. Reszta wyników to pliki pomocnicze szyfrowania z dysku D. Jak mówiłam, na dysku D dzieje się znacznie więcej niż to co wykrył skaner - tam są nadal masowo zaszyfrowane dane. 2. Ponawiam pytania: - Jaki plik próbujesz otwierać w WMP, tzn. z jakiego poziomu - przedstaw mi na obrazku jak ten plik wygląda w eksploratorze. - Jaka gra i jaki błąd (dokładnie). Nawiasem mówiąc, czy przed moimi operacjami (zaszyfrowane pliki), czy po (usunięcie plików), to na to samo wchodzi w określonym kontekście = niedostępne pliki.

To znaczy? Rozwiń wątek i co z tym zadaniem w Harmonogramie - nadal tam występuje?

Użyty na forum e-mail jest tym samym, który jest związany z Gravatarem, o ile nie zmieniono w profilu na załadowanie inną metodą. Temat przenoszę do działu Windows. ComboFix nie usuwał infekcji i nie ma też innych śladów tego typu. Problem był innej natury. Trudno stwierdzić jakiej, skoro brak raportów sprzed operacji ComboFix, ale Dziennik zdarzeń ma następujące rekordy: To nie wygląda na ingerencje infekcji, a błędy typu "Odmowa dostępu" to prędzej pasują do interferencji ESET. PS. Możesz wykonać kosmetykę, tzn. usunięcie martwych usług (m.in. VirtualBox i VMWare), pustych skrótów oraz sztucznych tworów dodanych przez ComboFix. W spoilerze operacja:

Skasuj plik C:\Delfix.txt. Temat zamykam.

Ale jaki plik próbujesz odtwarzać w WMP? O jakiej grze mowa i jaki błąd? Przypominam też, że cały dysk C miał masowo zaszyfrowane dane, były usuwane różne zaszyfrowane pliki i są określone ubytki - niektóre aplikacje zwracające błędy / pokazujące jakieś defekty w GUI trzeba będzie po prostu przeinstalować. Druga sprawa: cały dysk D jest też zaprawiony szyfrowaniem i to już musisz ogarnąć samodzielnie.

Który krok pomógł? A Fix FRST wykonany i tu już końcowe kroki, tzn.: Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Odwrócone zostały modyfikacje malware. Pierwotnie pierwszy log FRST pokazywał polityki HideSCAHealth (ukrycie ikony Centrum w obszarze powiadomień), co zwykle oznacza, że malware poczyniło zmiany w usługach Windows i chce ukryć ten stan blokując powiadomienia. Dlatego też był w końcowej fazie sprawdzany log Farbar Service Scanner, a niedomyślne ustawienia odwracane. Co masz na myśli, o co chodzi z Windows Media Player? Wyniki Hitman: nie wykrył nic czynnego / zaskakującego. Drobne odpadki Necurs (on już dawno usunięty za pomocą TDSSKiller, to jest nieczynna replika w katalogu Przywracania systemu), adware i ciastka. Usuń wyniki, "Suspicious files" C:\FRST.exe i C:\Users\XX\Downloads\FSS.exe oczywiście do ominięcia - to nie są szkodniki. Zresztą wszystkie używane narzędzia i tak na końcu zostaną usunięte.

1. Tak, to drobne resztki adware. Usuń za pomocą programu. MBAM możesz sobie zostawić do skanów na żądanie. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania sytemu: KLIK. 3. Koniecznie przeczytaj na co uważać: KLIK.

Z poziomu płyty Kasperskiego całkowicie opróżnij ten pendrive i przekopiuj nań co ważne, urządzenie odepnij zanim uruchomisz Windows.

Chodzi mi o ich przekopiowanie z poziomu płyty Kaspersky na jakiś zewnętrzny nośnik zanim uruchomisz Windows. Wspominałeś wcześniej o podpinaniu drugiego dysku, potem wyszło na jaw, że zakupy dopiero "w toku", to czy masz w ogóle gdzie nagrać dane (może jakać płyta DVD)?

Można jeszcze wyczyścić Harmonogram zadań z pustych zadań oraz zadań typu pcalua.exe. Poza tym, jest tu conajmniej jeden sterownik pozostawiony po odinstalowanym Paragon. Sterowników może być więcej, ale FRST ma tak silne filtrowanie, że bez wyłączenia Whitelist nie można być pewnym. Tak więc proszę o odznaczenie w oknie FRST pól Whitelist dla sekcji Services oraz Drivers i zrobienie nowego skanu FRST (tylko główny, bez Addition i Shortcut). Jest w porządku, ale słowa "lepszy" nie zastosowałabym. Poza tym, dawno tego Fortinet (wersja nielicencjonowana darmowa) nie sprawdzałam, więc nie do końca wiem jaka jest obecnie pula opcji, ale wydaje mi się że Avast (darmowa wersja) jest bogatszy.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Na pewno przeskanowałeś wszystkie partycje oraz pendrive? Czy wszystkie wykrycia zostały zniwelowane? Czy zabezpieczyłeś dane, które chciałeś kopiować? Jeśli wszystkie warunki spełnione, to uruchom Windows i zrób nowy zestaw logów FRST (wszyskie trzy) oraz GMER.

Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Czy są jeszcze jakieś problemy? Fixy wykonane i na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Mówisz o przycisku "Skanuj teraz", a ja mówię o konfiguracji programu przed uruchomieniem tego przycisku, by wskazać pełny skan. Czy tak to wyglądało? Pusty log MBAM usuwam, on nie jest potrzebny - raport skanera podajesz wtedy, gdy coś zostanie znalezione. Kolejne akcje: 1. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w uługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Następnie dwuklik w Zapora systemu Windows i Typ uruchomionia ustaw na Automatyczny. 2. Kolejne skany dla pewności za pomocą ESET Online Scanner oraz Hitman Pro. Jeśli coś znajdą, dostarcz raporty.

FRST potwierdza wprowadzenie czystego rozruchu. Natomiast zapomniałam poprosić o statystyki checkdiska. One są nagrane w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta.

Zaaplikuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy IE: KLIK. To tyle.

Mnóstwo obiektów adware (Omiga, SecretSauce, TornTV, protektory ustawień...), niektóre to stare nabytki. Układ wygląda jakby nastąpiły niepoprawne deinstalacje w przeszłości. Dodatkowo, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja przeglądarki. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware IB Updater 2.0.0.574, Incredibar Toolbar on IE oraz nieszczęsne Google Chrome. Podczas deinstalacji Chrome zaznacz Usuń także dane przeglądarki - resztę doczyści mój skrypt poniżej. - Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.3, Java™ 6 Update 18 (64-bit), Java™ 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}w64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys [44736 2014-09-17] (StdLib) R1 {352d129e-e588-40fa-9038-31a1fb6f0382}w64; C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys [48784 2014-11-28] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [61072 2014-07-30] (StdLib) R1 {84f71dda-7f74-46a2-afdb-c945e69c0195}w64; C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys [48784 2014-11-29] (StdLib) R1 {d6059be8-658c-492d-9d69-8d9d3e79bd94}w64; C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys [48784 2014-11-27] (StdLib) R2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [188760 2013-01-29] () [File not signed] R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 trntv; C:\Users\kamila\AppData\Roaming\TornTV.com\TornTVSvc.exe [19456 2014-11-18] (Cool Mirage) [File not signed] R2 Update SecretSauce; C:\Program Files (x86)\SecretSauce\updateSecretSauce.exe [668912 2015-01-30] () R2 Util SecretSauce; C:\Program Files (x86)\SecretSauce\bin\utilSecretSauce.exe [668912 2015-01-30] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-21] (Fuyu LIMITED) [File not signed] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omigaweb/?type=dspp&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {4F418588-A1F5-44E3-88F5-52069FEA48D3} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=463 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8LWvXlwE&i=26 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL No File BHO: QuueeNCouipon -> {31774e43-6993-4aa2-91f4-66989fc74424} -> C:\ProgramData\QuueeNCouipon\cbEONXJBpOtUHj.x64.dll () BHO: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension64.dll () BHO: BetterPRiceChec -> {694b827a-e406-4638-86d9-c708ea6d31d8} -> C:\ProgramData\BetterPRiceChec\JUa5fjAJzB0tph.x64.dll () BHO: LuckyCoaupon -> {f53af872-162d-4957-97d6-32daf1dc8a18} -> C:\ProgramData\LuckyCoaupon\lIrn8of3G0mPdU.x64.dll () BHO-x32: SecretSauce 1.0.0.7 -> {0ffd0ef2-dbe9-483a-80c4-d2c331da1ce4} -> C:\Program Files (x86)\SecretSauce\SecretSauceBHO.dll (SecretSauce) BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll No File BHO-x32: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension32.dll () BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BHO-x32: Incredibar.com Helper Object -> {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} -> C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Handler: empbook - {F4673987-2C36-49e4-B23C-29DF753D84A5} - C:\Program Files (x86)\eMPendium\eMPendiumHandler.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" C:\Program Files\IB Updater C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\STab C:\ProgramData\1078601655 C:\ProgramData\BetterPRiceChec C:\ProgramData\LuckyCoaupon C:\ProgramData\QuueeNCouipon C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\kamila\AppData\Local\Google\Chrome C:\Users\kamila\AppData\Local\Mozilla C:\Users\kamila\AppData\Local\Pay-By-Ads C:\Users\kamila\AppData\Roaming\Mozilla C:\Users\kamila\AppData\Roaming\TornTV.com C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer.lnk C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\kamila\Desktop\dokumenty\DRUKI Gofin.lnk C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\kamila\AppData\Local CMD: dir /a C:\Users\kamila\AppData\LocalLow CMD: dir /a C:\Users\kamila\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

OK, AdwCleaner dokasował szczątki adware. Ostatni skrypt do FRST - do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Krz\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Krz\Desktop\b2ucwwue.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.