picasso

Tak jest, obciążenie GPU pochodzi z infekcji - uruchamia się tu Bitcoin miner udający "klienta Steam". Ale to nie wszystko, są tu też ślady infekcji VBKlip/Banatrix, choć ta akurat się nie uruchamia (brak pliku). Task: {BF2E35C4-DFB1-4EEA-8A3D-8F2072F72F82} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Bartek\AppData\Roaming\Skype\CODEXi\Steam Client [2014-12-30] () Task: {CDFB1F42-C6C3-4ACE-82A4-2662EAAF0AD2} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Host Service.vbs () Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Host Service.vbs () Task: {BF2E35C4-DFB1-4EEA-8A3D-8F2072F72F82} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Bartek\AppData\Roaming\Skype\CODEXi\Steam Client [2014-12-30] () Task: {CDFB1F42-C6C3-4ACE-82A4-2662EAAF0AD2} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe Task: {2D71FDB5-5305-4AEA-A51D-6424A630AE10} - System32\Tasks\{6803F70A-1CFF-484E-9816-D8D645C4644C} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.20.0.104&LastError=12002 Task: {8696033C-5BC5-4FBF-8F9B-B79CC15E861E} - System32\Tasks\{12FA2988-EE48-486C-98C6-F31122481E69} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.20.0.104&LastError=12002 FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] S3 __FOX__FOXONE_DRIVER__; \??\C:\Users\Bartek\AppData\Local\Temp\FoxDriver.sys [X] C:\ProgramData\.windows.sys C:\Users\Bartek\AppData\Local\{*} C:\Users\Bartek\AppData\Roaming\Skype\CODEXi C:\Windows\system32\Drivers\113576BB.sys Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat pobierania z dobrychprogramów i podobnych: KLIK. W systemie są liczne ślady po operacjach "Asystenta pobierania". Dodatkowo, będę wyrzucać szczątki Firefox, który wygląda na odinstalowany. 1. Na początek odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 MUI, Adobe Shockwave Player 12.0, ASUS WebStorage, Gadu-Gadu 10, Java™ 6 Update 22, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-15] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-16] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-16] () U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath HKLM-x32\...\Run: [] => [X] AppInit_DLLs: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll => C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll File Not Found AppInit_DLLs: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll => C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll File Not Found HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No File Toolbar: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Task: {0C591A53-BF78-4717-90A5-17F20B033475} - System32\Tasks\{06BAC61C-2CEA-45C6-8A69-D29B173DE88D} => pcalua.exe -a E:\Autorun.exe -d E:\ Task: {3D2AEA76-67EB-4661-A72D-4BBEECFEF2A1} - System32\Tasks\{49E5177D-AB23-497D-8EE7-F0B9EB15EA0F} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0208C5A-0D27-4A6A-9FA2-D11771EE1063} - System32\Tasks\ASUS P4G => C:\Program Files\P4G\BatteryLife.exe C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Maintenance Service C:\ProgramData\Mozilla C:\ProgramData\Temp C:\Users\Bartek Szymuś\AppData\Local\Mozilla C:\Users\Bartek Szymuś\AppData\Roaming\Mozilla C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\Desktop\*.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Proszę przeczytaj zasady na temat autoryzowanych pomocników. Jestem jedyną osobą mogącą prowadzić pomoc w tym dziale, a to oznacza, że gdy jestem nieobecna (np. z powodu choroby) nie jestem w stanie zająć się tematem błyskawicznie. Zasady działu - jest wyraźnie powiedziane, by podać w czym antywirus wykrywa zagrożenie, tzn. konkretną ścieżkę dostępu. YAC (Yet Another Cleaner) to podejrzany program wątpliwej reputacji. Pisałam o nim np. tu: KLIK. Z daleka od niego. Na dodatek robi masowe przekierowania na search.yac.mx. FRST został uruchomiony ze złej lokalizacji, czyli tymczasowych plików: Running from C:\Users\marek_000\AppData\Local\Microsoft\Windows\INetCache\IE\5WEWR2KB Działania wstępne: 1. Przez Panel sterowania odinstaluj wątpliwe programy i adware: Softonic Assistant, VidPlaya wersja 1.0.1, YAC(Yet Another Cleaner!). 2. Pobierz ponownie FRST, ale zapisz go na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\S-1-5-21-676754089-1097009511-3930790267-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\S-1-5-21-676754089-1097009511-3930790267-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421618437 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://Vosteran.com/results.php?f=4&q={searchTerms}&a=vst_ir_14_52_ch&cd=2XzuyEtN2Y1L1QzuyDyEtByBtC0E0D0FtAyCzzyDtAyDtDzztN0D0Tzu0StCtDzzzytN1L2XzutAtFyCtFtCyDtFtAtN1L1CzutCyEtBzytDyD1V1BtN1L1G1B1V1N2Y1L1Qzu2StAzzyByDzyzzyEtAtGtAyD0DyDtG0B0F0DyBtG0B0E0EtDtGyDyEtDtCyEtCtCzztA0C0CyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDyCyByCyDzytC0FtG0F0E0BzztGyEyDzyyCtG0BzyyC0CtG0EyCtB0EtAtCzzzz0E0F0AtD2Q&cr=1508793227&ir= SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421618437 SearchScopes: HKLM -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = http://at.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421617539 SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421617539 SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = http://at.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} HKU\S-1-5-21-676754089-1097009511-3930790267-1001\...\Run: [RemoteFilesTrayIcon] => "C:\Program Files\Acer\abFiles\abFilesTrayIcon.exe" Task: {5FA7E8FD-006F-4BA8-9C7B-5D22EF50019B} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-676754089-1097009511-3930790267-1001 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe Task: {DE911CF7-1DA1-4BD0-BA19-3159D07E4910} - System32\Tasks\avastBCLRestartS-1-5-21-676754089-1097009511-3930790267-1001 => Chrome.exe C:\Program Files\Google C:\ProgramData\AVAST Software C:\ProgramData\OEM_YAHOO C:\Users\marek_000\AppData\Local\Google C:\Users\marek_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk C:\Users\marek_000\Desktop\VidPlayaSetup_v2.exe C:\Users\marek_000\Desktop\yet_another_cleaner_sfto_5_6_105.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione. Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielony w osobny temat. Zestaw podanych logów FRST niekompletny: po pierwsze główny log FRST.txt jest ... pusty, po drugie brak trzeciego pliku Shortcut. Zrób nowe porządne raporty i dostarcz nowe załączniki.

Proszę nie załączać logów które nie są obowiązkowe. Przestarzały OTL usunięty z wymagań - wymazuję do niego odnośniki. Za to logi z FRST niekompletne - brak trzeciego pliku Shortcut. W raportach nie widać nic szczególnego, ale w Google Chrome jest conajmniej jeden niepożądany obiekt. Przeprowadź następujące działania: 1. Odinstaluj stare wersje: Adobe Reader 8 - Polish, Java 7 Update 45, Java 7 Update 71. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKU\S-1-5-21-3883153021-2115777462-2494107699-1000\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Promonas\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-07] CHR HKLM-x32\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Promonas\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-07] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com Task: {4152A0F0-8D99-4810-8E96-2C501900835C} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3883153021-2115777462-2494107699-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {7B93B735-CD77-47D2-9DFD-3945E9AD4E24} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3883153021-2115777462-2494107699-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {889B8B50-9132-48BD-88A9-B4D2DB64A66D} - System32\Tasks\{4ED975AF-85E8-4FA6-9458-97A543662597} => C:\Users\Promonas\Desktop\Launcher.exe Task: {F37E5257-31FA-486F-9B78-A2F3F8C8F0B8} - System32\Tasks\avastBCLRestartS-1-5-21-3883153021-2115777462-2494107699-1000 => Chrome.exe CustomCLSID: HKU\S-1-5-21-3883153021-2115777462-2494107699-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Promonas\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File C:\Program Files (x86)\Opera C:\ProgramData\Malwarebytes C:\Users\Promonas\AppData\Local\{5B6C705E-788C-4975-B509-656F653AD077} C:\Users\Promonas\AppData\Local\CRE C:\Users\Promonas\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Promonas\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Promonas\AppData\Local\Opera Software C:\Users\Promonas\AppData\Roaming\Opera Software C:\Windows\system32\log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. Opisz co się dzieje.

rafiksq, zasady działu: KLIK. Przestarzały OTL został usunięty z wymagań i nie jest już w ogóle brany pod uwagę. Proszę dostarczyć obowiązkowe raporty z FRST.

kliszka, do wglądu zasady działu na temat oczekiwania na odpowiedź. Jestem jedyną osobą autoryzowaną do prowadzenia pomocy, a gdy mnie nie ma lub nie jestem w stanie zająć się tematem, temat jest przetwarzany nie natychmiastowo. Proszę opisz co dokładnie zrobiłeś oraz zrób nowe logi FRST (wszystkie trzy) mające przedstawić zaistniałe zmiany.

Tytułowy problem z błędami "APN Updater " tworzy instalacja adware "Search App by Ask", ale to nie jedyny obiekt adware. Dodatkowo w systemie jest i inny problem, tzn. uszkodzenie bazy Usług kryptograficznych, dlatego też wszystkie usługi i sterowniki Microsoftu są oznaczone jako niepodpisane cyfrowo. Wstępne działania: 1. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. Narzędzie działa na XP, a jedna z procedur trybu agresywnego to reset bazy kryptograficznych. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: ConvertAd, FLV Player, mystartsearch uninstall, Remote Desktop Access (VuuPC), Search App by Ask, Winamp Toolbar. - Stare wersje: J2SE Runtime Environment 5.0 Update 6, Java 7 Update 55, Java™ 6 Update 34, Java™ 6 Update 7, OpenOffice.org Installer 1.0, Opera 12.17. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut).

Proszę dostosuj się do zasad działu: KLIK. To znaczy opis problemu o co Ci chodzi, z czym jest problem. Logi z FRST niekompletne, brak pliku FRST Shortcut. Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów i tam się nie grzebie. Bieżące logi są zawsze w lokalizacji z której uruchamiano program, czyli w tym przypadku w katalogu Pobrane.

Logi z przestarzałego OTL zostały wycofane z użytku. Obecnie na forum posługuję się tylko FRST. Skoro FRST staje na skanie dziennika Office, to go wyczyść przed ponownym uruchomieniem FRST: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > wyszukaj dzienniki Office i z prawokliku wyczyść. Raporty pomogą tylko usunąć wtórne komponenty infekcji. Deszyfracja plików jest awykonalna: KLIK.

To co widać "na monitorze" oznacza, że infekcja nie została usunięta i są wymagane logi o których wspomina artus72. W zakresie logów możliwe jest tylko usunięcie komponentów infekcji, lecz nie odszyfrowanie danych: Ta infekcja szyfrująca atakuje wszystkie dyski dostępne w momencie inicjacji infekcji. Deszyfracja plików jest niemożliwa. Jedyny ratunek to próba zastosowania softu do odzyskiwania danych, jak wskazał to gajowy.

Zaprezentuj zrzuty ekranu pokazujące: wersję Windows (klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System) oraz pobrany plik FRST64.exe i komunikat przy jego uruchomieniu.

Oba tematy łączę razem, gdyż jest wspólny mianownik. Jest tu zainfekowany router, stąd oba komputery wykazują te same poblemy: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 Dodatkowo, w pierwszym systemie są widoczne też obiekty adware np. Better-Fox-Finder w Firefox. Akcje wstępne: CZYSZCZENIE ROUTERA: Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: DODATKOWE AKCJE NA KOMPUTERZE 1: 1. Przez Panel sterowania odinstaluj zbędniki i stare wersje: Akamai NetSession Interface, AVG Web TuneUp, Java 7 Update 45 (64-bit), Java™ 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 GPU-Z; \??\C:\Users\Przemek\AppData\Local\Temp\GPU-Z.sys [X] HKU\S-1-5-21-744382610-1142984750-2440805673-1000\...\Policies\Explorer: [] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> DefaultScope value is missing. FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\3.2.0\\npsitesafety.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml CHR HKLM-x32\...\Chrome\Extension: [acfoobbgoakpihljnfedbcfaipcdlfhk] - C:\Users\Przemek\AppData\Roaming\BabSolution\CR\bueno.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-13] Task: {6CFC6EA0-A64D-46F7-8343-A1038C23C4AA} - \EPUpdater No Task File Task: {8D16774F-EF9B-49C7-9B50-8EFCEC001CDC} - System32\Tasks\{06714CF0-D966-4247-9BC5-E237E4AF380B} => pcalua.exe -a F:\cpydraw.EXE -d F:\ Task: {97CC479C-399D-4C17-B592-3B4EF8BFF31D} - System32\Tasks\{6E1D5C5F-FEDB-4351-9B67-7420A8C754A7} => pcalua.exe -a "C:\Users\Przemek\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl http://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Task: {A6204100-F70C-4B7A-AD23-6D98B43C5FE9} - System32\Tasks\{0EF9ABC1-4606-4029-9A39-629EFD7D09A9} => pcalua.exe -a C:\Programy\Impact3_5-2011\installer_adobe_svg_viewer.exe -d C:\Programy\Impact3_5-2011 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rapido C:\ProgramData\TEMP C:\Users\Przemek\AppData\Local\{3ED2504F-6BCF-43A1-832C-40E5F5F5D001} C:\Users\Przemek\AppData\Local\Akamai C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Przemek\AppData\Roaming\WebTest C:\Users\Przemek\Desktop\Programy\AVG 2014.lnk C:\Users\Przemek\Downloads\SoftonicDownloader_for_*.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: ipconfig /flushdns CMD: sc config "Internet Manager. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Buenosearch Toolbar, Quick Start Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszrzenia zostaną wyłączone (włączysz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej ścieżkę C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. DODATKOWE AKCJE NA KOMPUTERZE 2: 1. Przez Panel sterowania odinstaluj starocie: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] SearchScopes: HKU\S-1-5-21-3399675315-2231272064-2884306650-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3399675315-2231272064-2884306650-1001\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Tylko przełączenie statusu obojętnej pozycji było potrzebne i nic więcej. Poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: S2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [X] C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Na temat pobierania z dobrychprogramów: KLIK. Prócz adware, system jest strasznie obciążony instalacjami pakietów zabezpieczających, w tle chodzą aż dwie mega potężne insatalacje Avast + stary McAfee, konieczne pozbycie się jednego z nich. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: Dynamo Combo, omiga-plus uninstall - Stare wersje i zbędniki: Adobe AIR, Adobe Reader X MUI, Bing Bar, Java 7 Update 55, Java™ 6 Update 22 (64-bit), Java™ 6 Update 22, McAfee Internet Security + McAfee SiteAdvisor. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys [48792 2015-01-11] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-17] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-17] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-11] (Fuyu LIMITED) [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} HKU\S-1-5-21-1474587180-1992122563-1668890296-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1474587180-1992122563-1668890296-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421016171&from=cor&uid=ST9500325AS_5VEQGH9JXXXX5VEQGH9J&q={searchTerms} BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL No File BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2015-01-15] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - No Path HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Aleksandra\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Aleksandra\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Aleksandra\AppData\Roaming\omiga-plus C:\Users\Aleksandra\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Dynamo Combo oraz komponewnt McAfee SiteAdvisor (o ile nadal będą widoczne po w/w deinstalacjach). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy isearch.avg.com, isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem włączysz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut). Dołącz też plik fixlog.txt.

Prócz Omiga jest tu też mystartsearch (liczne modyfikacje, w tym wszystkich skrótów LNK przeglądarek) oraz wątpliwe aplikacje Lenovo. Przeczytaj moją wypowiedź w tym temacie: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj zbędne firmowe programy wątpliwej reputacji (związane z SuperFish i Pokki): Host App Service, Lenovo Web Start, Start Menu, Superfish Inc. VisualDiscovery. Więcej na ten temat: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 ShortcutWithArgument: C:\Users\Przemek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 HKU\S-1-5-21-3634938514-2851733019-2585341248-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421440691&from=cor&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {D9AD20EC-DEC9-4003-B40D-B468B2D1CA33} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-3634938514-2851733019-2585341248-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792&ts=1421442285&type=default&q={searchTerms} BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\k5zzj4ga.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792 CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1421442187&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9HF916792" CHR DefaultSearchKeyword: Default -> omiga-plus C:\Program Files (x86)\XTab C:\ProgramData\APN C:\ProgramData\IHProtectUpDate C:\ProgramData\Temp C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Przemek\AppData\Roaming\mystartsearch C:\Users\Przemek\AppData\Roaming\WebApp Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FireGestures) trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj sponsoringowe rozszerzenie Avast SafePrice, Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włączysz sobie ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt.

Wszystko wykonane. Teraz: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader X (10.1.5), Adobe Shockwave Player 11, Java™ 6 Update 18. Po deinstalacjach popraw jeszcze tzw. "awaryjnymi deinstalatorami" linkowanymi w przyklejonym: KLIK. 2. Spróbuj zainstalować ESET. Jeśli coś będzie nie tak podczas instalacji, opisz dokładnie co się dzieje. Jeśli wszystko pójdzie OK, zrób nowy log FRST z opcji Scan (zaznacz pole Addition, by powstały dwa logi).

Jest tu dużo obiektów adware. Przeprowadź następujące działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, Flash Saving, Techweb, youtubeadblocker oraz stare wersje Adobe AIR, Java™ 6 Update 27 (64-bit), Spybot - Search & Destroy. Niektóre wpisy są prawdopodobnie uszkodzone poprzez nieumiejętne użycie AdwCleaner, ale Windows powinien zapytać czy usunąć wpisy z listy. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [fst_pl_41] => [X] Startup: C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Glee.S06E01.HDTV.x264-KILLERS.mp4(1).lnk GroupPolicyUsers\S-1-5-21-2987063312-1551485774-402213560-1000\User: Group Policy restriction detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ProxyServer: [s-1-5-21-2987063312-1551485774-402213560-1001] => 127.0.0.1:8118 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2987063312-1551485774-402213560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.iplay.com/?o=shp URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1387207716&from=cor&uid=ST9500325AS_5VEMN4WNXXXX5VEMN4WN&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> DefaultScope {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {36377DD7-B3EB-42f5-986F-680BAF59BA9D} URL = http://start.iplay.com/searchresults.aspx?o=chrome&q={searchTerms} SearchScopes: HKU\S-1-5-21-2987063312-1551485774-402213560-1001 -> {8AA519B6-ACAF-44E1-B2FB-E8F460F79F4A} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=930FDB67-46CF-43BD-8B6A-5C4814475BEF&apn_sauid=7AA5C731-C93B-4631-B1E8-BCA2AEFA961C BHO: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.x64.dll No File BHO-x32: youtubeadblocker -> {62bacc77-6bc8-4cae-a6bc-140b368ae656} -> C:\Program Files (x86)\youtubeadblocker\n8J6KEaK9hZKb8.dll No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) Task: {3A97638A-9AAB-4FFF-BBFF-A4EBE789D01E} - System32\Tasks\IHUninstallTrackingTASK => CMD Task: {408AC825-3E9F-4F97-A498-65CD57FDE397} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {7D75CE48-C234-45B6-84F9-0C41582CEB24} - System32\Tasks\{21ED1F97-68AC-4807-BADF-284514DC3B06} => pcalua.exe -a C:\windows\IsUn0415.exe -c -f"C:\Sierra\Zeus - Pan Olimpu\Uninst.isu" Task: {95C84CCA-DB9D-4117-AC57-4E96D275000B} - System32\Tasks\{1DF4FA4F-19D1-4432-98A9-AD686A8AC705} => Firefox.exe http://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?page=tsProgressBar Task: {9DFA8606-564C-4BFE-B6FE-23A1FF5F9F88} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.) Task: {AB08E407-12AA-44A8-AC4A-130C46C21C19} - System32\Tasks\{1C10CF02-10BA-4B19-8A80-63070C3AF65C} => pcalua.exe -a C:\Users\Marta\Desktop\Setup.exe -d C:\Users\Marta\Desktop Task: {B709BBAA-9D4C-4231-A881-0FDF5D2A0171} - System32\Tasks\{14F6FACE-B135-43AB-B963-53D2D2341BE6} => pcalua.exe -a c:\users\marta\appdata\local\lollipop\lollipop.bat Task: {D77BE750-0DA4-47F5-A073-9082D8E1B0EA} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe Task: {E5D932C8-5E0F-4F56-AEAC-ED58520DF2B8} - System32\Tasks\{E0BCC668-61C1-4C5E-A6C8-DABF573C9658} => pcalua.exe -a "C:\Users\Marta\Desktop\Zuma Deluxe - Pełna Wersja.exe" -d C:\Users\Marta\Desktop Task: {FB538166-74B8-47D8-93DE-BB6BFA2313A4} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2012-10-14] (Google Inc.) Task: C:\windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe S3 esgiguard; No ImagePath S3 MREMP50a64; No ImagePath S3 MREMPR5; No ImagePath S3 MRENDIS5; No ImagePath S3 MRESP50a64; No ImagePath C:\Program Files (x86)\DeltaFix C:\Program Files (x86)\Flash Saving C:\Program Files (x86)\GraeAtSave4U C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SaveNeewaAppza C:\Program Files (x86)\unIsalies C:\ProgramData\{e48d5d66-7070-2db1-e48d-d5d667077599} C:\ProgramData\ackikepopkfndockcljljdimbmimklkk C:\ProgramData\4d09ce8d5400296d C:\ProgramData\5551195122105854317 C:\ProgramData\GraeAtSave4U C:\ProgramData\SaveNeewaAppza C:\ProgramData\Temp C:\Users\Marta\AppData\Local\Google C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Napraw uszkodzony (prawdopodobnie czyszczeniem AdwCleaner) specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\Marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany).

Logi z przestarzałego OTL nie są tu już obowiązkowe. Próbując rozwiązać problem posługiwałaś się wątpliwym skanerem z czarnej listy: SpyHunter. Problem reklam tworzy adware Better Finder wstawione do Firefox. To nie jest wirus, a metody nabycia to działania podobne do: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare dziurawe wersje: Adobe Flash Player 9 ActiveX, Java™ SE Runtime Environment 6 Update 1. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\windows\System32\DRIVERS\EsgScanner.sys [19984 2015-01-19] () U1 eabfiltr; No ImagePath Toolbar: HKLM - No Name - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No File C:\Program Files\Enigma Software Group C:\Users\Grześ i Paula\Downloads\AdwCleaner*.exe C:\Users\Grześ i Paula\Downloads\OTL*.exe C:\Users\Grześ i Paula\Downloads\sh-remover.exe C:\windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Posty powyżej skorygowałam, usunęłam linki reklamowe. ocznik1986, proszę dostarczyć obowiązowe logi z FRST.

Jest tu multum adware, a ostatnia seria nabyta z portalu dobreprogramy.pl: KLIK. Na dysku widać wyraźnie plik "Asystenta pobierania" i zaraz po nim wygenerowanie obiektów adware: 2015-01-10 20:04 - 2015-01-10 20:04 - 00000000 ____D () C:\ProgramData\IHProtectUpDate 2015-01-10 20:03 - 2015-01-10 20:17 - 00000000 ____D () C:\Program Files (x86)\XTab 2015-01-10 20:02 - 2015-01-10 20:02 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect 2015-01-10 20:01 - 2015-01-19 20:18 - 00000000 ____D () C:\Program Files (x86)\Dynamo Combo 2015-01-10 20:01 - 2015-01-10 20:01 - 00730528 _____ ( ) C:\Users\Adrian\Downloads\CCleaner(13061)-dp.exe 1. Przez Panel sterowania odinstaluj adware i zbędniki: McAfee Security Scan Plus, omiga-plus uninstall, WebStorage. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64; C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys [48792 2015-01-19] (StdLib) R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib) R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys [48792 2015-01-16] (StdLib) R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gw64; C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys [48792 2015-01-10] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-19] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-19] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523 HKU\S-1-5-21-2338383573-761613370-1584193850-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420916513&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} SearchScopes: HKU\S-1-5-21-2338383573-761613370-1584193850-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420916576&from=cor&uid=KINGSTONXSV300S37A120G_50026B774907F523&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\Norton C:\ProgramData\WindowsMangerProtect C:\Users\Adrian\AppData\Roaming\omiga-plus C:\Users\Adrian\Downloads\*(*)-dp*.exe C:\Windows\System32\drivers\{641e52b1-3179-43ed-8bcb-f688871e52b0}Gw64.sys C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}Gw64.sys C:\Windows\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gw64.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na początek uwaga, FRST nie był pobierany z linka w przyklejonym (KLIK) tylko z innego portalu bez autoryzacji i uruchomiony plik to był downloader z adware a nie docelowy FRST. C:\Users\Jacek\AppData\Local\Temp\ICReinstall_Farbar Recovery Scan Tool.exe Jest tu definitywnie adware, ale również adware przekonwertowało typ przeglądarki Google Chrome z wersji stabilnej do developersiej i jest konieczna całkowita reinstalacja Chrome. Akcja: 1. Przez Panel sterowania odinstaluj adware i poszkodowaną przeglądarkę: Browse Save Win, Click Caption 1.10.0.6, Google Chrome, HavrePorter, unisaoles, youtubeadblocker. Przy deinstalacji Chrome zaznacz Usuń także dane przeglądarki, resztę doczyści mój skrypt poniżej. 2. Pobierz najnowszy FRST z linka w przyklejonym. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 24c54e38; c:\Program Files\DeltaFix\DeltaFix.dll [4182016 2015-01-12] () [File not signed] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX ShortcutWithArgument: C:\Users\Jacek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX HKU\S-1-5-21-2949696853-1657588460-2157650677-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX SearchScopes: HKLM -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1421096046&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1421096091&from=wpc&uid=HitachiXHTS545050B9A300_090823PB4406Q7C415EAX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1&q={searchTerms}&pid=2921&r=2015/01/12&hid=7335698499489535646&lg=EN&cc=PL&unqvl=74 BHO: uaniSaales -> {29f954b1-bf1a-4310-b36d-23d46383d2cd} -> C:\Program Files\uaniSaales\sAiId2fMAkJRei.dll () BHO: unisaoles -> {80d325f8-a215-4f3a-bede-33b8b3706129} -> C:\Program Files\unisaoles\zs6UoeBcFTfVCw.dll () BHO: youtubeadblocker -> {a5970951-edbd-494a-9016-c603330698e6} -> C:\Program Files\youtubeadblocker\wYU0jcyjVALCLF.dll () CustomCLSID: HKU\S-1-5-21-2949696853-1657588460-2157650677-1000_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Users\Jacek\AppData\Local\Temp\e9FA84\temp\PEOPLE ARE AWESOME 2014 - 2015.mp4.exe () C:\Program Files\Browse Save Win C:\Program Files\ClickCaption_1.10.0.6 C:\Program Files\DeltaFix C:\Program Files\Google\Chrome C:\Program Files\uaniSaales C:\Program Files\unisalEs C:\Program Files\unisaoles C:\Program Files\XTab C:\Program Files\youtubeadblocker C:\ProgramData\5744965725342391347 C:\ProgramData\IHProtectUpDate C:\ProgramData\nnemiiegoljppknkjanlnjehlokgldjp C:\ProgramData\plhjhkdnechhnhnnkjbmilfbmaflobma C:\Users\Jacek\AppData\Local\Google\Chrome C:\Users\Jacek\Downloads\*.partial Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Nie ma potrzeby dostarczać wyników, gdyż one już są wydrukowane w pliku Fixlog. Odpowiada za to ostatnia komenda skrypcie, czyli CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log. Podsumowanie ostatniej puli akcji: Zoek usunął dane rejestracji MSI opornego szczątka ESET, Fix FRST skasował zadane elementy, a SFC odtworzył zlikwidowany przez malware folder Windows Defender: 2015-01-22 10:02:25, Info CSI 00000234 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store 2015-01-22 10:02:25, Info CSI 00000235 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MsMpRes.dll.mui" from store 2015-01-22 10:02:25, Info CSI 00000236 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store 2015-01-22 10:02:25, Info CSI 0000023a [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpRes.dll" from store 2015-01-22 10:02:25, Info CSI 0000023b [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpClient.dll" from store 2015-01-22 10:02:25, Info CSI 0000023c [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpCmdRun.exe" from store 2015-01-22 10:02:25, Info CSI 0000023d [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store 2015-01-22 10:02:25, Info CSI 0000023e [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpSvc.dll" from store 2015-01-22 10:02:25, Info CSI 0000023f [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpCom.dll" from store 2015-01-22 10:02:25, Info CSI 00000240 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store 2015-01-22 10:02:25, Info CSI 00000241 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MSASCui.exe" from store 2015-01-22 10:02:25, Info CSI 00000242 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpRtMon.dll" from store 2015-01-22 10:02:25, Info CSI 00000243 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpRtPlug.dll" from store 2015-01-22 10:02:25, Info CSI 00000244 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSigDwn.dll" from store 2015-01-22 10:02:25, Info CSI 00000245 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSoftEx.dll" from store 2015-01-22 10:02:25, Info CSI 00000246 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpOAV.dll" from store 2015-01-22 10:02:26, Info CSI 00000247 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpEvMsg.dll" from store Idziemy dalej: 1. Rekonstrukcja kluczy Windows Defender na poziomie rejestru. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "Group"="COM Infrastructure" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,04,01,00,00,10,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,d4,00,07,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,\ 00,28,00,15,00,00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,\ e5,55,dc,f4,e2,0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration] "DeltaUpdateFailure"=dword:00000000 "BddUpdateFailure"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Quarantine] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\Checkpoints] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Reporting] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan] "CheckForSignaturesBeforeRunningScan"=dword:00000001 "AutomaticallyCleanAfterScan"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates] "UpdateOnStartUp"=dword:00000000 "EngineVersion"="1.1.11302.0" "ASSignatureVersion"="1.191.1346.0" "ASSignatureApplied"=hex:00,db,b2,0d,0d,26,d0,01 "SignatureLocation"="C:\\ProgramData\\Microsoft\\Windows Defender\\Definition Updates\\{642B3344-D4C9-40C1-845C-76C24ABC0E79}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Software Explorers] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Spynet] "SpyNetReporting"=dword:00000001 "SpyNetReportingLocation"=hex(7):68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,\ 00,73,00,70,00,79,00,6e,00,65,00,74,00,32,00,2e,00,6d,00,69,00,63,00,72,00,\ 6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,00,2f,00,41,00,6e,00,74,\ 00,69,00,4d,00,61,00,6c,00,77,00,61,00,72,00,65,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,73,00,2f,00,32,00,2f,00,53,00,70,00,79,00,6e,00,65,00,74,\ 00,52,00,65,00,70,00,6f,00,72,00,74,00,53,00,72,00,76,00,63,00,2e,00,61,00,\ 73,00,6d,00,78,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatTypeDefaultAction] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\UX Configuration] [-HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Sprawdź czy działa Windows Defender: uruchom go, spróbuj wykonać aktualizację baz. Jeśli Windows Defender nie zadziała, zgłoś się na forum z opisem co widzisz. Jeśli jednak nie będzie z nim już problemu: 2. Na wszelki wypadek zastosuj jeszcze narzędzie ESET Uninstaller. Musi ono zostać uruchomione z poziomu Trybu awaryjnego Windows. Narzędzie tworzy log wynikowy - zmień mu nazwę z *.log na *.txt i doczep plik do wglądu.

Dzięki ichito. Nieprecyzyjnie się wyraziłam. Te dane są dla mnie widoczne. Mnie chodziło o sprawdzenie jakie oferty sponsorowane ten downloader podstawia polskim użytkownikom, bo moje sprawdzanie jest niewiarygodne (widzę inne dane niż polscy użytkownicy). Ale artus72 sprawdzał u siebie i u niego na razie downloader nie wykazał żadnych sponsoringowych czynności, tylko pobrał plik zasadniczy bez pokazywania ofert. Ale obiekt jest doczepiony w jakimś celu, w przeciwnym wypadku po co w ogóle tam występuje. Gdyby coś się zmieniło i downloader zaczął pokazywać jakieś śmieci podczas pobierania, proszę o informację.