picasso

Podałam konkretny zakres usług z zestawy Zapory do naprawy, tzn. tylko MpsSvc i SharedAccess. Naprawa Mpsdrv była zbędna, podobnie jak BFE. BFE nie możesz "naprawić", bo usługi nie brakuje i jej stan wyklucza import danych (uruchomiona + uprawnienia). To co zaleciłam do wykonania zostało już wykonane. Z usługami skończyliśmy. Teraz: 1. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. 2. Podaj orientacyjną listę zakresu szyfrowania danych (tylko na dysku C), czyli pliki z doklejonym ciągiem itqjnld. Uruchom SystemLook x64 i w oknie wklej: :filefind *itqjnld* Klik w Look i podaj wynikowy log. Uwaga: log może być potwornie duży i nie wejść w załączniki. W takiej sytuacji shostuj go gdzieś (np. wklej.org, a jeśli i dla tego serwisu za duża wklejka, to spakuj do ZIP i użyj inny hosting). Mam też pytanie: czy obecnie tapeta systemowa jest poprawnie ustawiona? Piję do tego, że infekcja szyfrująca manipuluje w ustawieniach tapety.

adece, przecież nie wykonałeś zadań jak należy. Nie odinstalowałeś przestarzałego F-Secure. Po drugie nie uruchomiłeś skryptu FRST - to nadal jak najbardziej aktualne, bo w systemie są inne rzeczy wymagające korekty (m.in. wpisy adware Conduit). 1. Czyli do wykonania zaległe punkty: deinstalacja F-Secure oraz cały punkt numer 2 (ze skryptu wytnij jednak linię Hosts:, gdyż to już niepotrzebne). 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Za efekt zapewne odpowiada to zadanie w Harmonogramie zadań inicjujące konsolowy amd.bat: ==================== Scheduled Tasks (whitelisted) ============= Task: {09089979-D918-4175-8024-D38EBE8BFF2F} - System32\Tasks\Catalyst Control Center => C:\Program Files (x86)\ATI Technologies\ATI.ACE\amd.bat [2015-01-20] () Zanim podam jego usuwanie, proszę otwórz w Notatniku plik C:\Program Files (x86)\ATI Technologies\ATI.ACE\amd.bat i przeklej tu jego zawartość.

Na przyszłość podawaj link do alternatywnego tematu, bym nie musiała wyszukiwać. Temat jest tu: KLIK. Widzę, że posługiwałeś się wątpliwym skanerem SpyHunter - z daleka od tego reklamiarza. Czyszczenie na tamtym forum było niedokładne (nie sprawdzono też wyników Fixlog). Po pierwsze metoda usuwania rozszerzeń adware z przeglądarek nie gwarantująca ich pełnego usunięcia (kasowanie folderu Chrome z dysku NIE usuwa w pełni rozszerzenia). Po drugie nie zostały zlikwidowane wszystkie skutki infekcji adware - zostałeś z przeglądarką Google Chrome przekonwertowaną przez adware z wersji stabilnej do developerskiej. To oznacza otwarcie na adware w przyszłości, Chrome nie zablokuje niepożądanych operacji (blokada jest tylko w wersji stabilnej). Konieczna całkowita reinstalacja przeglądarki. Chrome: ======= CHR dev: Chrome dev build detected! Przy okazji, była tam próba usuwania poniższego nieszkodliwego elementu DAEMON Tools, próba się nie udała tylko nie było Fixlog to dowodującego. To produkt aktywności sterownika SPTD emulacji. Sterownik (mający jako "producenta" zawsze nazwę związaną z kontrolerem dysku = tu AMD) jest losowy i zmienia nazwy przy każdym restarcie systemu. Nie da się go "usunąć" - on zniknie w pełni po całkowitym ubiciu emulatora SPTD. I nic z tym nie trzeba robić, dopóki działa DAEMON Tools. U3 aot7jlil; C:\Windows\System32\Drivers\aot7jlil.sys [0 ] (Advanced Micro Devices) Obecnie w systemie już inna nazwa: U3 a6grwy0i; C:\Windows\System32\Drivers\a6grwy0i.sys [0 ] (Advanced Micro Devices) Działania poprawkowe pod kątem Google oraz wpisów odpadkowych / po odinstalowanych programach: 1. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {04B578FB-6C1C-4A41-B1C9-6DCAB5DF1AB0} - System32\Tasks\{024B06CC-9D95-449F-87E7-E9EB4C4D8F7D} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi" Task: {29094F0F-38A3-49DA-BC19-FA79E38CC45B} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {2F175C2D-0D98-46EC-B3ED-50EAD4E3A286} - System32\Tasks\{A3205480-6B17-4F84-B31F-66365B9C92EA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi" Task: {536E7D1A-89B8-49D6-BD25-4A5BC37BE198} - System32\Tasks\{5E2A602B-0F31-4961-AFAE-A029D4FD2DFA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi" Task: {5516E73D-E346-4FAB-93F9-2739A2B5F09C} - System32\Tasks\Driver Booster SkipUAC (Piotrek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {6DA73A18-D9B6-485C-AD21-BDC19157EE46} - System32\Tasks\{5C676BB8-A143-4A65-8D47-F92CD6FD8EC5} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi" Task: {E9AA4610-4FD4-4045-AC0D-E6EDA0039ACD} - System32\Tasks\{1C89FACA-BF17-4C90-8389-872C16B8D186} => msiexec.exe /package "C:\Users\Piotrek\Desktop\Windows Defender 1.1.1593.0 PL .msi" Task: {EE521B9C-6E14-4EF2-89E6-D3A4584BBA7F} - System32\Tasks\{64EB8821-2CF0-4307-BEB4-6F8A26CD8960} => pcalua.exe -a C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl)\setup.exe -d C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl) BootExecute: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\Google C:\ProgramData\Freemake C:\ProgramData\install_clap C:\ProgramData\IObit C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home C:\Users\Piotrek\AppData\Local\Google C:\Users\Piotrek\AppData\Local\WorldofTanks C:\Users\Piotrek\AppData\Local\Zemana C:\Users\Piotrek\AppData\Roaming\snotebook 2.0.exe C:\Users\Piotrek\AppData\Roaming\16487 C:\Users\Piotrek\AppData\Roaming\Foxmail7 C:\Users\Piotrek\AppData\Roaming\gBurner C:\Users\Piotrek\AppData\Roaming\IObit C:\Users\Piotrek\AppData\Roaming\Tencent C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Piotrek\Start Menu\Programs\SpyHunter C:\Windows\SysWOW64\ZALSDKCore.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a C:\Users\Piotrek EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK (wersję 32-bit lub 64-bit, do wyboru). 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Proponuję jednak całkowicie odinstalować ESET dla testu. Po tym poprawić ESET Uninstaller z poziomu Trybu awaryjnego. Po akcji zostawić komputer na obserwacji (nie instalując żadnych antywirusów "przejściowych"), by się upewnić czy ta instalacja ma coś do rzeczy.

Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu, a jeśli potrzebna Java to wyposaż się w najnowszą wersję: KLIK.

Opisz w jaki sposób "rozwiązałeś" problem. Jeśli odbywało się to na innym forum, podaj link do tematu. Prośba o dostarczenie obowiązkowych logów nadal aktualna.

AdwCleaner ani nie służy do usuwania takich programów, ani nie jest poprawną metodą usuwania tego typu aplikacji - to jest antywirus oparty o sterowniki poziomu kernel. Zawsze należy daną aplikację (nawet adware) w pierwszej kolejności próbować odinstalować, bo brutalne usuwanie na chama może mieć skutki uboczne (większe śmietnisko). Niechciany Kingsoft należy w poprawny sposób odinstalować. Figuruje on na liście zainstalowanych pod następującą krzaczastą nazwą: ==================== Installed Programs ====================== 新毒霸(悟空) (HKLM\...\Kingsoft Internet Security) (Version: 2015.0.5 - Kingsoft Internet Security) Jaki jest problem z jego odinstalowaniem? Czy chodzi o to, że nie rozumiesz przycisków / nie możesz się domyślić co one proponują? Czy może jakiś błąd się pojawia?

Temat sklejam z poprzednim. To nie jest problem infekcji. Raporty FRST są używane także do analizy pozainfekcyjnych przyczyn, w tym jednak przypadku nie zawierają żadnych kierunków działań. Jedyne co widać to tylko relatywny błąd w Menedżerze urządzeń: ==================== Faulty Device Manager Devices ============= Name: Unknown Device Description: Unknown Device Class Guid: {36fc9e60-c465-11cf-8056-444553540000} Manufacturer: (Standardowy kontroler hosta USB) Service: Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Nie, to nie jest powiązane. Po prostu zainstalowany był kiedyś jakiś program do nagrywania lub masterowania płyt CD/DVD który używa tego sterownika emulacji. Jak widać w raportach sterownik cholernie stary i 32-bitowy, dlatego jest blokowany na systemie 64-bit (wymagane natywne podpisane cyfrowo sterowniki). Sterownik jest nieczynny, ale można go całkowicie wywalić: S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () W Autoruns w karcie Drivers skasować StarOpen. Po tym z dysku ręcznie usunąć plik C:\Windows\SysWow64\Drivers\StarOpen.sys. Ta operacja nie ma związku z problemem USB.

Zadanie wykonane. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Teraz zastosuj DelFix oraz wyczyść foldery Przywracania systemu i spróbuj utworzyć nowy punkt Przywracania systemu: KLIK. Proszę potwierdź, że operacje z Przywracaniem nie zwracają błędu, gdyż raport FRST Addition notował błąd WMI (niemożność poboru danych).

Wszystko zrobione. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Google /f CMD: del /q C:\Users\User\Downloads\rl6jt5r5.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\User\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Potwierdzam wykonanie zadania. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Czy próbowałeś TestDisk? Czy są jakieś wyniki z przywracaniem poprzedniego układu i danych?

"Fun Dial" było, ale już go nie widać. Natomiast "inoeonmfapjbbkmdafoankkfajkcphgd" widziałam w logu i myśląc, że to niewidoczny na liście rozszerzeń odpadek (nazwa nie jest interpretowana, pokazywane ID rozszerzenia jako nazwa) załączyłam w skrypcie FRST. Twój opis definitywnie wskazuje, że nie był to jednak szczątek tylko pełne rozszerzenie. Usunięcie folderu z dysku nie usuwa wpisu rozszerzenia z listy zainstalowanych. To mamy z głowy. Wszystko zrobione. Idziemy dalej. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [] => [X] BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\24602589.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\24602589.sys => ""="Driver" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\IsoBuster w sieci.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Zamów teraz.lnk C:\Users\Public\Documents\GOOBZO CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. Zaprezentuj go.

krystiankash, brak danych, zasady działu co jest tu obowiązkowe (raporty): KLIK. Uzupełnij dane.

Ale mój Boże ... Co Ty mi podajesz! Pobrałeś jakiś lewy program DoctorPC. Ty masz pobrać FRST. Wszystko przecież z obrazkami opisane w przyklejonym: KLIK. Na obrazkach widać jak program wygląda, jakie pliki tworzy. Raporty mają zostać doczepione w postaci załączników a nie wklejane w poście.

Oba tematy łączę. adela, są tu dwa zagadnienia: 1. Zaszyfrowane dane. Pełny opis infekcji tu: KLIK. Już wszystko zostało powiedziane na ten temat. Bardzo mi przykro, ale nic nie da się zrobić więcej w zakresie odzysku danych. Z raportów wiadomo, że infekcja wyczyściła na zero magazyn kopii cieniowych (brak jakichkolwiek punktów Przywracania systemu) i że jest tu najnowsza wersja CTB-Locker, która tworzy losowe suffiksy. W Twoim przypadku są to *.vzrufdd. 2015-01-01 23:23 - 2015-01-01 23:23 - 00002112 _____ () C:\Users\Serge_2\Downloads\Oryginalna nazwa pliku.TXT.vzrufdd Prawdopodobnie pełna lista zaszyfrowanych plików jest w tym pliku HTML: 2015-01-19 20:30 - 2015-01-19 20:35 - 0543439 _____ () C:\ProgramData\jcmvxcc.html 2. Obiekty infekcji per se. Zaprezentuj plik C:\ComboFix.txt, który przedstawi co program usuwał. Mówisz że "na monitorze zostało" - w raportach FRST nie widać zastąpienia tapety, lecz FRST po prostu nie skanuje ustawień związanych z aktywną zawartością Pulpitu i tapetą. Poproszę o dodatkowe skany pod tym kątem: Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Brak jakichkolwiek oznak infekcji. Do korekty będą tylko odpadkowe wpisy, ale to potem. Na początek chcę się upewnić co widzisz: Czy to na pewno dobry zrzut ekranu pokazujący ową "ikonkę"? Ten szary obiekt tu pokazany: ....wygląda jak fragment okna COMODO, a konkretnie "przycięta" pierwsza litera "C" nazwy: KLIK. Jeśli to ikona COMODO, jej pojawianie się z kilkuminutowym opóżnieniem również byłoby wyjaśnione = długie ładowanie COMODO. I ogólnie COMODO może być przyczyną obciążenia zasobów.

Przecież na dysku jest plik raportu: 2015-01-02 20:18 - 2015-01-02 20:19 - 00000000 ___SD () C:\ComboFix 2015-01-02 20:02 - 2015-01-02 20:02 - 00138046 _____ () C:\ComboFix.txt Chodzi o dostarczenie już obecnego pliku C:\ComboFix.txt. Nie interesuje Cię folder C:\ComboFix.

martapia, zasady działu: KLIK. Każdy ma mieć osobny topik, Twój post wydzialam w osobny temat. Jeśli chodzi o pobieranie FRST, Avast blokuje i jest to fałszywy alarm. Proszę na czas pobierania i pracy z FRST wyłącz osłonę WWW Avast.

Rootkit pomyślnie usunięty. Przechodzimy do usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2015-01-04] (XTab system) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2015-01-14] (GOOBZO) HKLM-x32\...\Run: [smart File Advisor] => C:\Program Files (x86)\Smart File Advisor\sfa.exe [280824 2011-04-04] (Filefacts.net) HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [GoobzoYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2015-01-14] (GOOBZO) HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [YpPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\admin\AppData\Local\Ozics\EP0NOE12.DLL HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [Eltion] => regsvr32.exe C:\Users\admin\AppData\Local\Eltion\CNHL08A.dll HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\admin\AppData\Local\PriceFountain\PriceFountainIE.dll No File BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll (Goobzo Ltd.) Task: {0C9CE307-51C4-464D-8FD6-0CCB436996E3} - System32\Tasks\YTAUpdate => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {1047211C-5FE9-481E-98B4-9DE650703E7B} - System32\Tasks\Price Fountain => C:\Users\admin\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-01-14] () Task: {132A5AB7-E187-4EBF-A5FE-6DA2355D2F38} - System32\Tasks\AdobeFlashPlayerUpdate => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {1F45BDFA-213D-4E5A-8E6F-434A1FD950AA} - System32\Tasks\DSite => C:\Users\admin\AppData\Roaming\DSite\UpdateProc\updatetask.exe [2014-01-14] () Task: {37F30370-B076-4B56-B878-84485F70F2D1} - System32\Tasks\EPUpdater => C:\Users\admin\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-04-07] () Task: {49CCC7BC-996A-4A99-BE8B-3148630467BB} - System32\Tasks\YTAUpdate_logon => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {6F072A49-9EF7-4875-BC2F-85EFE2E38976} - System32\Tasks\{402429A3-AD80-47F2-B019-FD4EA2A104D0} => pcalua.exe -a C:\Users\admin\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {7F8ABB9C-5D6F-4D2E-834B-0E9F930E4018} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {C43A4654-5150-429B-9772-2670BDC719FE} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe [2014-06-15] (Goobzo LTD) Task: {D9E57034-BE63-4D26-ADBE-29EFDEBF4C1D} - System32\Tasks\Digital Sites => C:\Users\admin\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {FE6BB7F9-A821-4A5E-A9CA-195F39DE7E55} - System32\Tasks\{64B1E721-462F-4A10-972F-D71B77213CCD} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: C:\windows\Tasks\Digital Sites.job => C:\Users\admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\Price Fountain.job => C:\Users\admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS" CHR DefaultSearchKeyword: Default -> omiga-plus CHR HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - C:\Users\admin\AppData\Local\newhb2.crx [2013-10-23] CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\admin\AppData\Roaming\BabSolution\CR\BabylonChrome1.crx [Not Found] CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Program Files\Enigma Software Group C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\GUT3BD8.tmp C:\Program Files (x86)\XTab C:\ProgramData\AVG C:\ProgramData\IHProtectUpDate C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\admin\AppData\Local\Avg C:\Users\admin\AppData\Local\CrashDumps C:\Users\admin\AppData\Local\CrashRpt C:\Users\admin\AppData\Local\Eltion C:\Users\admin\AppData\Local\globalUpdate C:\Users\admin\AppData\Local\Ozics C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Roaming\BabMaint.exe C:\Users\admin\AppData\Roaming\AVG C:\Users\admin\AppData\Roaming\BabSolution C:\Users\admin\AppData\Roaming\omiga-plus C:\Users\admin\AppData\Roaming\OpenCandy C:\Users\admin\AppData\Roaming\PriceFountain C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Public\Documents\GOOBZO C:\Windows\Installer\{B13EA808-3A8F-8E31-3851-661E1839DC64} C:\Windows\System32\Drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI CMD: for /d %f in (C:\Users\admin\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\omiga-plus uninstall" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: Babylon Chrome Toolbar, Smart File Advisor 1.1.1, Update for Video Converter, Video Converter Packages, YouTube Accelerator. - Stare wersje: Adobe Flash Player 11 ActiveX, Adobe Reader X (10.1.13) MUI, Java™ 6 Update 20 W przypadku błędów kontynuuj z dalszymi pozycjami. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Fun Dial. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dołącz też plik fixlog.txt. Poproszę również o zrzuty ekranu z następującego miejsca Internet Explorer: Opcje Internetowe > Programy > Zarządzaj dodatkami > Paski narzędzi i rozszerzenia.

Wszystko zrobione. W zakresie czyszczenia finiszujemy. Poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" HKLM-x32\...\Run: [EaseUS EPM tray] => C:\Program Files (x86)\EaseUS\EaseUS Partition Master 10.2\bin\EpmNews.exe CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-08] C:\Program Files (x86)\EaseUS C:\Users\Public\Pokki C:\Users\Przemek\AppData\Local\Pokki C:\WINDOWS\system32\VisualDiscoveryOff.ini C:\WINDOWS\SysWOW64\VisualDiscovery.ini C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (nie stosuj na razie Usuń) i dostarcz log z folderu C:\AdwCleaner. Czy sprawdzałeś najprostszy trik, tzn. prawoklik na Pulpit > Odśwież w menu kontektowym?

Brakuje pliku FRST Shortcut. Obiektów adware jest tu spora ilość. Ale spowolnienie może być z innej przyczyny, np. z winy antywirusa. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware: FoxTab FLV Player, FoxTab Music Converter, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO plugin 1.3, PDF Writer Packages, RewardsArcade, Update for PDF Writer, weBsave, YoutubeAdblocker. - Stare wersje (w tym crackowane) i zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, AVG 2014, AVG PC TuneUp 10.0.0.27 PreCracked, AVG SafeGuard toolbar, Java 7 Update 71, Java™ 6 Update 35. - Zintegrowane firmowe aplikacje (jeśli nie korzystasz): Acer GameZone Console (i wszystkie gry Oberon), Acer Registration, Acer Updater, CyberLink PowerDVD 9, Identity Card, MyWinLocker Suite, Norton Online Backup. 2. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=B6054C0F6E10A720&affID=119357&tt=080913_ctrl&tsp=5000 HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0415&m=aspire_5736z&r=27361110f235l0424z155v47524269 HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-905848300-39378253-2338670776-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKLM-x32 -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=050f35f6-dd55-11e1-88a8-88ae1d8148e0&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=B6054C0F6E10A720&affID=119357&tt=080913_ctrl&tsp=5000 SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {6FC41EDD-4B02-4442-AA2B-B635C036EFAA} URL = http://www.bing.com/search?FORM=WLETDF&PC=WLEM&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={FB4215A1-B731-4501-A2D6-AD1838594A26}&mid=8bd0cd6fdd0d47d0af0f59e75b65a113-bc3ae82cd2758b5f87515caab2e724511db09901&lang=pl&ds=gm011&coid=avgtbdisgm&cmpid=&pr=sa&d=2014-02-16 19:20:35&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {AE0883A7-7BCD-4BCE-A0D4-F06B92B62D40} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=EA2EB7E7-163D-474D-89C6-80D2D89736C0&apn_sauid=9CBB111D-F6A6-49BA-8435-F866CD561E14 SearchScopes: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={12113390-2E4B-4415-89D1-74DB9DE622BF} BHO-x32: MediaBar -> {0974BA1E-64EC-11DE-B2A5-E43756D89593} -> C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll No File BHO-x32: RewardsArcade -> {597A9974-8CB0-4f41-B61F-ED065738A397} -> C:\Program Files (x86)\RewardsArcade\RewardsArcade.dll (215 Apps) BHO-x32: IE5BarLauncherBHO Class -> {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} -> C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll No File BHO-x32: SweetPacks Browser Helper -> {EEE6C35C-6118-11DC-9C72-001320C79847} -> C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~2\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll No File Toolbar: HKLM-x32 - StartSearchToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKU\S-1-5-21-905848300-39378253-2338670776-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [crossriderapp498@crossrider.com] - C:\Users\Karolina\AppData\Local\RewardsArcade\498\Firefox FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\18.1.9.799 CHR HKLM\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKU\S-1-5-21-905848300-39378253-2338670776-1000\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [Not Found] CHR HKU\S-1-5-21-905848300-39378253-2338670776-1000\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKLM-x32\...\Chrome\Extension: [dcmagccbogebndpoodhhhafmofelpffh] - C:\Users\Karolina\AppData\Local\RewardsArcade\498\Chrome\rewardsarcade.crx [2011-11-04] CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-06-14] CHR HKLM-x32\...\Chrome\Extension: [khongjfjjmklggionajlpjcpmnppdace] - C:\Users\Karolina\AppData\Local\BargainJoy.crx [2013-09-12] CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [2011-10-27] Task: {0CCA079F-1668-41BB-B8C9-30E9B395400F} - System32\Tasks\{46797E31-69B5-4EEE-8AB7-E7A250FCA824} => C:\Users\Karolina\Downloads\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe Task: {3F04A133-AB9C-4D28-BF12-A244AE1C3626} - System32\Tasks\{B18BF057-A4BC-4512-97A2-CB3306BAE6AB} => C:\Users\Karolina\Downloads\Photoshop_CS2_tryout\Photoshop CS2\Setup.exe Task: {44123C41-5CE7-4687-91D2-6A0942312E47} - System32\Tasks\DealPly => C:\Users\Karolina\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {8FE1B1C3-5297-424C-9BDD-29E0A74A7DA1} - System32\Tasks\{2BB855C5-D278-4C41-A04D-5A794105E36A} => pcalua.exe -a "C:\Users\Karolina\Desktop\z kompa\upc_webstar_2000_series_usb_drvrs_v.3.2.3222\UNDPX2K.EXE" -d "C:\Users\Karolina\Desktop\z kompa\upc_webstar_2000_series_usb_drvrs_v.3.2.3222" Task: {C59DBBD7-9AA4-4271-B186-B3804E0CE99F} - System32\Tasks\DSite => C:\Users\Karolina\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {F84ABE94-6118-480C-8C2C-A6E84BE4EEF7} - \DealPlyUpdate No Task File Task: C:\Windows\Tasks\DSite.job => C:\Users\Karolina\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE S3 UNDPR3K; \??\C:\Windows\system32\drivers\UNDPR3K.SYS [X] S3 UNDPX2A; \??\C:\Windows\system32\drivers\UNDPX2A.SYS [X] S3 UNDPX2K; \??\C:\Windows\system32\drivers\UNDPX2K.SYS [X] C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\Program Files (x86)\RewardsArcade C:\Program Files (x86)\StartSearch plugin C:\ProgramData\whlb32g.dll C:\ProgramData\Temp C:\Users\Karolina\AppData\Local\{*} C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Karolina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Karolina\AppData\Local\RewardsArcade C:\Users\Karolina\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\Karolina\AppData\Roaming\AVG C:\Users\Karolina\AppData\Roaming\Babylon C:\Users\Karolina\AppData\Roaming\DealPly C:\Users\Karolina\AppData\Roaming\DigitalSites C:\Users\Karolina\AppData\Roaming\DSite C:\Users\Karolina\AppData\Roaming\Gadu-Gadu 10 C:\Users\Karolina\AppData\Roaming\OpenCandy C:\Users\Karolina\AppData\Roaming\OpenFM C:\Users\Karolina\AppData\Roaming\PerformerSoft C:\Users\Karolina\AppData\Roaming\Tlen.pl Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Karolina\AppData\Local CMD: dir /a C:\Users\Karolina\AppData\LocalLow CMD: dir /a C:\Users\Karolina\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome ze śmieci: Ustawienia > karta Rozszerzenia > odinstaluj avast! WebRep, AVG SafeGuard, BargainJoy, LiveVDO plugin, RewardsArcade, SweetIM for Facebook (części może nie być po w/w deinstalacjach). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Oznak czynnej infekcji brak, temat przenoszę do działu Windows. GMER niewiarygodny, robiony przy aktywnym sterowniku DAEMON Tools: R3 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283064 2014-05-04] (Disc Soft Ltd) Jeśli chodzi o Google Chrome, to w raporcie FRST widać tylko jakieś podejrzane blokady na poziomie Zasad grup, które będę usuwać. Dodatkowo możesz sprawdzić czy coś da odfajkowanie następującej opcji w Chrome: Ustawienia > Pokaż ustawienia zaawansowane > Prywatność > Przewiduj działania w sieci, aby przyśpieszyć ładowanie stron. Druga sprawa: masa obiektów w standardowych lokalizacjach ma atrybut C (Compressed). Przykładowy odczyt, ale większość w wycinkowym raporcie jest tak zaprawiona (w tym katalog Chrome): 2015-01-17 21:28 - 2013-05-17 19:20 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\uTorrent 2015-01-17 21:24 - 2014-04-28 18:35 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\IObit 2015-01-17 21:19 - 2014-04-28 18:36 - 00000000 ___DC () C:\ProgramData\ProductData 2015-01-17 21:07 - 2014-11-19 14:40 - 00000000 ___DC () C:\Users\SDRG\AppData\Roaming\ViberPC 2015-01-17 21:06 - 2014-11-19 14:38 - 00000000 ___DC () C:\Users\SDRG\AppData\Local\Viber 2015-01-17 21:05 - 2009-07-14 06:08 - 00000006 ___HC () C:\Windows\Tasks\SA.DAT 2015-01-17 20:24 - 2009-07-14 05:45 - 00010336 ___HC () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2015-01-17 20:24 - 2009-07-14 05:45 - 00010336 ___HC () C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 Czy aby przypadkiem nie skompresowałeś całego dysku / globalnie istotnych lokalizacji? Kompresja globalna dysku systemowego może spowodować dłuższy dostęp do obiektów. Nie powinno się jej robić na komponentach aktywnych... Nie polecam żadnych produktów IObit ze względu na mętną reputację producenta. Grzechy na sumieniu: kradzież bazy MBAM w przeszłości, adware w instalatorach, podejrzane związki partnerskie. Więcej: KLIK. Na razie usuń polityki Google oraz przy okazji inne puste wpisy. Wątpię, by były jakieś zmiany. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type C:\Windows\system32\GroupPolicy\Machine\Registry.pol GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-2151658333-1173139235-3204586576-1001] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = StartMenuInternet: IEXPLORE.EXE - iexplore.exe ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll No File Task: {B4C00ED3-8E10-4F64-8808-0F8A6E221ECA} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe S2 HPSLPSVC; C:\Users\SDRG\AppData\Local\Temp\7zS1AF7\hpslpsvc64.dll [X] S3 WinRing0_1_2_0; No ImagePath S3 xhunter1; No ImagePath S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 clwvd6; system32\DRIVERS\clwvd6.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\11306245.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\11306245.sys => ""="Driver" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się co się dzieje.