picasso

Adux, odpowiadam w temacie, gdy mam coś do powiedzenia (trzeba mieć czas i koncepcję!). Odświeżanie niczego nie przyśpieszy, to tylko irytuje i zmusza do pisania bezużytecznych postów jaki właśnie tworzę. Problem z Instalatorem Windows nakreślony wyżej to zupełnie inna diagnostyka niż banalne raporty z FRST.

Jeśli system nie był podłączony do sieci, to nie miał szansy zaktualizować ustawień rejestru. DhcpNameServer jest pobierane dynamicznie z routera. Podłącz sieć, zresetuj system, po tym wykonaj skrypt do FRST (uwzględnia czyszczenie bufora DNS i plików Temp, co może mieć związek z istnieniem przekierowań mimo resetu routera) i pokaż nowy log.

To obiekty systemowe, były od początku instalacji Windows tylko ich nie widziałeś. Skan OTL przełącza opcje widokowe, w ramach pomocy przy usuwaniu infekcji, by widzieć wszystkie składniki. Użytkownicy zwykle pomijają / lub nie są świadomi, że są dwie opcje związane z widocznością: Pokaż ukryte foldery i pliki oraz Ukryj chronione pliki systemu operacyjnego. To wyłączenie tej drugiej opcji powoduje pokazanie się wymienionych składników. System Volume Information: katalog związany z Przywracaniem systemu, Kopią zapasową i innymi. Zreplikowany na każdym dostępnym dysku. $Recycle.Bin: prawdziwy folder Kosza. To co jest na Pulpicie to tylko wirtualny skrót. Ten folder jest powielony na każdym dostępnym dysku. MSOCache: lokalne źródło instalacji pakietu Office, używane do reinstalacji / naprawy pakietu. Pliki BOOTNXT, hiberfil.sys, swapfile.sys: kolejno od procesów startowych Windows, Hibernacji oraz pamięci wirtualnej aplikacji ModernUI. Z wyjątkiem folderów Kosza, obiektów nie wolno naruszyć. I w systemie jest o wiele więcej rzeczy teraz widocznych, tylko jeszcze tego nie znalazłeś. Po prostu w Opcjach folderów zaznacz opcję Ukryj chronione pliki systemu operacyjnego i tyle. W pierwszem zestawie logów nie widać oznak czynnej infekcji. Niestety wręcz przeciwnie jest w drugim zestawie po Przywracania systemu. Ono było niestety niepotrzebne. Robiąc Przywracanie systemu przywróciłeś śmieci: przeglądarka Google Chrome jestzaprawiona adware BuiyNssave, na dodatek adware przekonwertowało typ przegldarki ze "stabilnej" do "development" i jest konieczna reinstalacja Google Chrome od zera. Przy okazji, na dysku jest pełno plików poniższego schematu. To nie są poprawne instalatory tylko śmieci "Asystent pobierania" dobrychprogramów nastawione na instalację adware: KLIK. C:\Users\mateu_000\Downloads\YouTube-Downloader(27896)-dp.exe Do wykonania następujące akcje: 1. Akcje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Resztę doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140820 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-2769995749-3454007108-333519029-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-2769995749-3454007108-333519029-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKU\S-1-5-21-2769995749-3454007108-333519029-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File S4 LMIRfsClientNP; No ImagePath S3 TBPanel; No ImagePath S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] Task: {143BB45B-8C04-4FBD-9774-78A7B6300670} - System32\Tasks\{76127E5C-95AD-4DDA-BAD9-CA36E07260BC} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.457/pl/abandoninstall?page=tsWLM C:\Program Files (x86)\BuiyNssave C:\Program Files (x86)\Google\Chrome C:\ProgramData\AVG C:\ProgramData\bajnlhgjdokojnhcbpcgdfodnllmgbcd C:\ProgramData\TEMP C:\Users\mateu_000\AppData\Local\Avg C:\Users\mateu_000\AppData\Local\Google\Chrome C:\Users\mateu_000\AppData\Roaming\AVG C:\Users\mateu_000\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SaiMfd /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ProfilerU /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v XboxStat /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W systemie działa infekcja (C:\ProgramData\mswlw.exe), co jest zapewne powodem problemów z funkcjami relatywnymi do zabezpieczeń. Przeprowadź następujące działania: 1. Odinstaluj wątpliwy program Dll-Files.com Fixer wersja 3.0.81.2643. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [3570475709] => C:\ProgramData\mswlw.exe [81249 2014-12-14] ( ()) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3930421677-1584321131-3860223234-1002\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-3930421677-1584321131-3860223234-1002\...\Policies\Explorer: [HideSCAHealth] 0 SearchScopes: HKU\S-1-5-21-3930421677-1584321131-3860223234-1002 -> DefaultScope {FF857022-ADA0-4C74-8D7E-3D6C29B87085} URL = SearchScopes: HKU\S-1-5-21-3930421677-1584321131-3860223234-1002 -> {FF857022-ADA0-4C74-8D7E-3D6C29B87085} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK C:\ProgramData\mswlw.exe C:\Users\Kratos666\patch.exe C:\WINDOWS\SysWOW64\*.tmp Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v 3570475709 /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s CMD: type "C:\Users\Kratos666\AppData\Roaming\Mozilla\Firefox\Profiles\869b3nru.default\user.js" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Reset routera pozorowany, nadal jest z niego pobierany szkodliwy adres: Tcpip\Parameters: [DhcpNameServer] 94.249.192.181 8.8.8.8 Wnioski: albo reset routera był nie do końca poprawny, albo po resecie go nie zabezpieczyłeś (zamknięcie panelu zarządzania od strony Internetu). Czyli do wykonania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2747643430-3014987258-1734309276-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM\...\Policies\Explorer: [NoControlPanel] 0 ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Na zakończenie usuń pobrany FRST z C:\Users\Bakoma\Downloads\Nowy folder i zastosuj DelFix.

Fix wykonany, natomiast DelFix nie pokazuje żadnych kasacji - czy na pewno folder C:\FRST zniknął?

1. Była w skrypcie drobna literówka (poprawiłam za późno) i jedna rzecz się nie wykonała. Otwórz Notatnik i wklej w nim: C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń pobrany FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Używasz Google Chrome, więc Adobe Flash jest zintegrowany i nie potrzebujesz innych wersji. Jeśli chcesz uzupełnić Adobe Reader, to w powyżsym linku wszystko wyłożone. Ponadto, jest tu golusieński Windows 7 i do wykonania kompleksowa aktualizacja z Windows Update (SP1 + IE11 + reszta): Platform: Microsoft Windows 7 Home Premium (X86) OS Language: Polski (Polska) Internet Explorer Version 8

Wg obrazka jest to natywnie zintegrowany z przeglądarką Flash i on może być zaktualizowany tylko poprzez aktualizację całej przeglądarki, co tu zostało zalecone.

Temat przenoszę do właściwego działu Hardware. Dostarcz dane wymagane do diagnostyki dysku: KLIK. I ktoś inny się zabierze za analizę materiałów. PS. Jeśli się okaże, że nie jest źle z dyskiem, wtedy do uzupełnienia aktualizacje Windows np. IE8 (KLIK) oraz rozwiązanie poniższego błędu usługi Hewlett-Packard: System errors: ============= Error: (12/13/2014 07:50:22 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Start > Uruchom > services.msc, dwuklik w wymienioną usługę i Typ uruchomienia ustaw na Wyłączony.

1. Minimalna poprawka. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {BE6CCE12-371D-4E98-94E8-500487DF8FBB} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {BE6CCE12-371D-4E98-94E8-500487DF8FBB} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. Po pokazaniu pliku: 2. Usuwasz ręcznie stosowane skanery z C:\Users\Sławek\NARZEDZIA. Następnie DelFix, czyszczenie folderów Przywracania systemu, uzupełnienie wybranej wersji Adobe Flash i aktualizacja Internet Explorer: KLIK. Uprzednio w systemie była zainstalowana tylko wersja dla Internet Explorer. Instalujesz Adobe Flash dla tej przeglądarki, której używasz. Wszystkie linki pod konkretne przeglądarki podane w wyżej linkowanym przyklejonym.

W Google Chrome jest zainstalowane adware CommonShare. Przeprowadź następujące działania: 1. Na początek jednak odinstaluj stare dziurawe wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 9.1 - Polish. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2092716530-3474641769-2676177707-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\samsung\AppData\Roaming\Opera Software C:\Users\samsung\AppData\Roaming\systweak Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj CommonShare Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

vs. Google Chrome ma wbudowany na stałe Adobe Flash, on nie występuje na liście zainstalowanych i nie można go odinstalować. Zaleciłam do deinstalacji wtyczkę dla Firefox - ona owszem też była widoczna w Google Chrome (dlatego były dwie wtyczki). Popatrz ponownie na przyklejony na temat aktualizacji Adobe Flash, bo dziś go zedytowałam i dodałam kilka nowych informacji. Pytaniem jest więc: czy po deinstalacji wtyczki Firefox nadal widziałaś dwie pozycje? Jeśli nie, to został tylko ten wbudowany. Nie wiem skąd ten błąd. Może KIS bruździ? Alternatywnie: odinstaluj Google Chrome (nie zaznaczaj opcji "Usuń także dane przeglądarki", by zachować profil na dysku) > zainstaluj najnowszą wersję. Nie, logów już nie potrzebuję. Skorygowałam, wystarczy przełączyć na Tryb BBcode na chwilę, a się "prostuje treść". W czym post przygotowujesz, w jakimś zewnętrznym programie?

Proszę nie używaj opcji "Odpowiedz" zlokalizowanej przy danym poście - to funkcja cytatu, która wstawia wypowiedź poprzednika (zedytowałam). Korzystaj z pola szybkiej odpowiedzi na spodzie tematu i opcji Napisz. Brakuje nowego skanu:

Zapomniałeś dołączyć główny raport FRST.txt... Ale Ty nie jesteś teraz bez antywirusa. Posiadasz Windows 8.1 - system ma natywnie wbudowany Windows Defender. Jest to inny Defender niż w starszych systemach, w istocie jest to nowsza wersja Microsoft Security Essentials: KLIK. Instalacje zewnętrznych antywirusów powodują, że zintegrowany Windows Defender jest wyłączany. Ich deinstalacja z kolei przywraca stan domyślny i Defender się ożywia. Oczywiście jest to program skromniejszy niż konkurenci typu "Internet Security", ale jest mimo wszystko w systemie, zapewnia podstawową ochronę, więc na takiej pastwie losu to teraz nie jesteś. Jeśli chodzi o instalacje producentów trzecich: nie polecam nic konkretnego wychodząc z założeń, że dowolny wybór użytkownika z zakresu wiodących / dobrze znanych marek komercyjnych czy darmowych będzie w porządku, byle nie niszowe rozwiązania. Czy to będzie Bitdefender Internet Security, czy Kaspersky Internet Security, czy Avast Free = okej. Te wszystkie tematy w rodzaju "który antywirus najlepszy", śledzenie tabelek wyników (które się zmieniają) i ograniczone testy na zmanipulowanych materiałach uważam za bezcelowe - każdy ma inną opinię (lub brak opinii) i poleca to co sam u siebie zainstalował, albo szerzy się echolalia z sieci (ktoś tam miał nieprzyjemne zdarzenie z programem X, a hałastra powtarza jak ciele), a testy w warunkach domowych na segregowanych próbkach to sport testera. W praktyce i tak leczę systemy użytkowników z wszystkimi tymi doskonałymi antywirusami i innymi zabezpieczeniami. Antywirus to nie wszystko, są inne funkcjonalności zabezpieczające (HIPS, piaskownice, wirtualizacje). Ale tu uważam, że jednak program musi być dostosowany do umiejętności użytkownika, bo jeśli użytkownik nie umie obsłużyć danej aplikacji, nie spełnia ona po prostu zadania wcale (niezrozumiałe komunikaty od funkcji HIPS-podobnych, za dużo dialogów decyzyjnych o niezrozumiałej treści, etc.). Jeśli wbudowany w system Windows Defeder nie zadawala Cię, zewnętrznego antywirusa / pakiet IS sobie dobierz samodzielnie, ważne jest byś umiał go obsługiwać i rozumiał co Ci komunikuje. Zaznaczę także, że u Ciebie w systemie były dwa określone rodzaje malware: - VBKlip/Banatrix (podawałam opis): pod tym kątem przydałaby się więc funkcja związana z wykonywaniem bezpiecznych transakcji bankowych oraz zabezpieczaniem przed keyloggerami. - Adware - czego unikać, na co uważać, bo nawet najbardziej sprytny program zostanie pokonany przez użytkownika: KLIK.

Nie wiem czy rozumiem co mówisz - pokazujesz mi, że wtyczka jest wyłączona, to należy ją włączyć. Czy jest z tym jakiś problem? Dodatkowo: zaktualizuj Google Chrome z posiadanej 39.0.2171.71 do najnowszej 39.0.2171.95 - ma ona zintegrowaną nowszą wersję 16.0.0.235. Kierowałam tylko do aktualizacji Adobe Flash dla IE. Java była załatwiona wcześniej. Google Chrome powyżej. System ma bazowe aktualizacje tam wyliczane. Jeśli ów skrót jednak uruchamiał program bez błędu, to mógł być przypadek ze zdefektowanym cache ikon Windows: KLIK. - Hałasy: nie sądzę, bym tu coś już zaradziła, bo nie widzę sensu wyłączania określonych funkcji w programie, by obniżyć ilość i zakres wykonywanych zadań. - Google Chrome: wszystko się zgadza, Kaspersky montuje korespondujące do określonych funkcji rozszerzenia w przeglądarkach IE, Firefox i Google Chrome. Firefoxa tu nie ma, ale pewnie i na niego "czekają" takie instalacje (stworzone gotowce Kasperskiego w kluczach Mozilla). Chodziło mi tu o asekurację, gdyby się okazało, że nie można go odinstalować. Zawsze należy próbować w pierwszej kolejności normalnej deinstalacji.

Przeklej do posta treść którą zapisałeś jako fix.vbs.

Kończymy : 1. AdwCleaner czyścił z profilu Firefox na wbudowanym koncie Administrator. Na wszelki wypadek zaloguj się na to konto i wykonaj na nim reset Firefox. 2. Wróć na konto Karolina. Z Pulpitu usuń folder FRST. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Uruchamiałeś ComboFix i na ten temat: KLIK. Są widoczne problemy w systemie i niepożądane obiekty: zamontowana usługa "Tor" (wątpię, byś to celowo instalował) oraz rozmaite odpadki adware (niektóre aktywne). Jeśli są kłopoty z połączeniem, to Tor owszem pasuje do scenariusza. Są tu dwa konta i na każdym z osobna należy prowadzić określone operacje: ========================= Accounts: ========================== Dom (S-1-5-21-400919767-554095329-431794452-1003 - Limited - Enabled) => C:\Users\Dom HolloW (S-1-5-21-400919767-554095329-431794452-1000 - Administrator - Enabled) => C:\Users\HolloW Przenieś FRST z folderu Pobrane konta HolloW do ścieżki wspólnej dla obu kont, tzn. C:\Users\Public\Desktop (w eksploratorze wyświetlane "fałszywie" po polsku C:\Użytkownicy\Publiczny\Pulpit publiczny). Następnie po kolei logujesz się na dane konto, by przeprowadzić następujące operacje: NA KONCIE HolloW: 1. Przez Panel sterowania odinstaluj Qtrax Player. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-08-23] () [File not signed] R2 WebCake Desktop Updater; C:\Program Files (x86)\WBDesktop.Updater.exe [51992 2013-08-11] (cake bake) ) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X] GroupPolicyUsers\S-1-5-21-400919767-554095329-431794452-1003\User: Group Policy restriction detected HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-400919767-554095329-431794452-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-400919767-554095329-431794452-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1000 -> DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&tt=190313_wo1&babsrc=SP_ss_din2g&mntrId=14B3001333AFDA05 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&tt=190313_wo1&babsrc=SP_ss_din2g&mntrId=14B3001333AFDA05 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147945 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\HolloW\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147942 FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll (Microsoft Corporation) CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path HKU\S-1-5-21-400919767-554095329-431794452-1000\...\RunOnce: [Adobe Speed Launcher] => 1418382088 Task: {2724D264-9F0A-4532-94C4-7E230BD75DB3} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {3FB5F7AA-2883-420E-8B88-15B92CE70DEE} - System32\Tasks\{0D8742BB-7A83-4D0E-A8FE-7194F9A46058} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {69190F3F-D8F8-4CA6-9EDA-999DCAE8CE2B} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe Task: {B3547192-8E82-4399-B625-F5A23A124062} - System32\Tasks\AdobeFlashPlayerUpdate => C:\Windows\SysWOW64\FlashPlayerUpdateService.exe C:\Program Files (x86)\WBDesktop.Updater.exe C:\Program Files (x86)\Betcat C:\Program Files (x86)\Tor C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\TEMP C:\Windows\SysWow64\ᅑ C:\Windows\SysWow64\o C:\Windows\SysWow64\꜉鮇D C:\Windows\SysWow64\晻 C:\Windows\SysWow64\⋨ⵗY C:\Windows\SysWow64\⃻쑈 C:\Windows\SysWow64\↻䁘 C:\Windows\SysWow64\゚맆 C:\Windows\SysWow64\⼹㬡 Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze C:\Users\Public\Desktop gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W C:\Users\Public\Desktop powstanie plik fixlog.txt. 3. W przeglądarkach: - Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Avira Browser Safety, Greasemonkey, Stylish) trzeba będzie przeinstalować. - Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. NA KONCIE Dom: 1. Powtórz deinstalację Qtrax Player. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-400919767-554095329-431794452-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147944 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119370&tt=190313_wo1&babsrc=SP_ss_din2g&mntrId=14B3001333AFDA05 SearchScopes: HKU\S-1-5-21-400919767-554095329-431794452-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2ER47144071440&ts=1362147945 HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb] => reg.exe delete "HKCU\Software\AppDataLow\Software\filebulldogtb" /f HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb_XP] => reg.exe delete "HKCU\Software\filebulldogtb" /f HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb_DATA_FOLDER] => cmd.exe /c rmdir "C:\ProgramData\File Bulldog Anti-phishing Domain Advisor" /s /q HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [filebulldogtb_INSTALL_FOLDER] => cmd.exe /c rmdir "C:\Users\HolloW\AppData\Local\filebulldogtb" /s /q HKU\S-1-5-21-400919767-554095329-431794452-1003\...\RunOnce: [Adobe Speed Launcher] => 1418382088 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Plik zapisz pod nazwą fixlist.txt (tym razem nie trzeba zapisywać w kodowaniu UTF-8) w katalogu C:\Users\Public\Desktop. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) - FRST uruchom poprzez dwuklik a nie "Uruchom jako Administrator", gdyż zmieni się kontekst konta. Dołącz też plik fixlog.txt. .

Wszystko przetworzone. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Symantec C:\Program Files (x86)\SymSilent C:\Program Files (x86)\Temp C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\boost_interprocess C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\NortonInstaller C:\ProgramData\PopCap Games C:\ProgramData\Symantec C:\Users\Mariola\Doctor Web C:\Users\Mariola\AppData\Local\CrashDumps C:\Users\Mariola\AppData\Local\CrashRpt C:\Users\Mariola\AppData\Local\globalUpdate C:\Users\Mariola\AppData\LocalLow\{EA34C851-D481-49F5-A356-3A8B0A8F3B7E} C:\Users\Mariola\AppData\LocalLow\GoHD C:\Users\Mariola\AppData\LocalLow\Sense C:\Users\Mariola\AppData\Roaming\NDFNWE C:\Users\Mariola\AppData\Roaming\PZBSD C:\Users\Mariola\AppData\Roaming\WebApp RemoveDirectory: C:\Qoobox RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

GMER sobie darujmy. Nadal widać dużo elementów grupy "Goobzo" (ShopperPro i YouTube Accelerator), z tym że to ShopperPro jest częściowo czynny (zadanie w Harmonogramie próbuje go "uzupełniać"), reszta szczątki. Adware zmodyfikowało łańcuch Winsock, "łopatologie" go uszkodziły (usunięcie pliku adware z dysku bez prawidłowego wypięcia z Winsock). Wdróż następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe /service [X] S3 SPBIUpdd; \??\C:\Program Files\Common Files\ShopperPro\spbiw.sys [X] R2 SPDRIVER_1.38.0.1437; C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1437\jsdrv.sys [52584 2014-12-10] () S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X] S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] Task: {5060A676-C1F7-47B5-A943-BCAC0127239E} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-10] (Goobzo) Task: {694E8C2F-DB63-43D5-AF87-46D818F896B7} - System32\Tasks\SPBIW_UpdateTask_Time_323231393831363432352d374a55414134502a576c4a5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {7F51C96E-B554-4EDA-8CB2-6DC89B54DC7E} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {7FCACBC8-7780-4A13-82D8-3B78048199F6} - System32\Tasks\{039CC313-F8D6-419D-A278-A18599BA2C7D} => pcalua.exe -a C:\Users\Radziu\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {A619EC51-0625-42A2-A897-9FD6139E932A} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe Task: {AFD1E278-5263-4B39-A439-D304C3304B11} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {C4CE1052-7B18-4221-8D24-D2EAD9267C7D} - System32\Tasks\Installer_sense => C:\Users\Radziu\AppData\Local\Installer\Installsense_30696\ins_postInst.exe Task: {CC19B9DC-5CA6-41DA-B50D-E81C7911D513} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2014-12-10] (Goobzo LTD) Task: {DFB9A7C9-9563-4484-B59B-17F8AC8873B8} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1437\jsdrv.exe [2014-12-10] () Task: {F7C0F6DC-72B5-4A50-8410-A665C3387358} - System32\Tasks\{AB7A8563-66E8-4667-80C6-226CB3648B3F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: {FF91A0AD-6195-4007-A2E1-C8A0A395301F} - System32\Tasks\Installer_iwebar => C:\Users\Radziu\AppData\Local\Installer\Installiwebar_30696\ins_postInst.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76 BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll No File BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll No File C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\ShopperPro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f CMD: netsh winsock reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Radziu\AppData\Local CMD: dir /a C:\Users\Radziu\AppData\LocalLow CMD: dir /a C:\Users\Radziu\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Radziu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Radziu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus i WOT należy przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Poprawki: 1. Specjalny skrót Internet Explorer nie jest poprawny: Shortcut: C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-21-398410218-3786033429-3762348091-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = RemoveDirectory: C:\found.000 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sławek\Desktop\Stare dane programu Firefox EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan na następujących ustawieniach: odznacz pole Whitelist dla sekcji Internet. Dodatkowe logi Addition i Shortcut już zbędne. Dołącz fixlog.txt.

W Operze jest zainstalowane rozszerzenie adware Radio Canyon: }, "bikofacodmhdpkfdeeocponfcgjcdfbk": { "active_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "granted_permissions": { "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "install_time": "13062650737157205", "location": 1, "manifest": { "background": { "page": "background.html" }, "content_scripts": [ { "all_frames": true, "js": [ "js/35e65e4680aeaa40a5b16c9a643b00f4.js", "js/lib/8c7f9d9541d28365ac49c0cfe36b768b.js", "js/lib/8cf4982fdda5d8c15ddebfc990045237.js", "js/lib/c9ce8aeb4f1efacf28a8b122c33e66fe.js", "js/lib/0794bcdacdaafe834e6d24d99c1b1292.js", "js/api/7a26ebd88a8b0ad9cf5e180115048305.js", "js/api/9ea2c940d96967823d25a6a9d4b1560c.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ], "matches": [ "http://*/*", "https://*/*" ], "run_at": "document_start" } ], "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'", "description": "User Station", "icons": { "128": "icons/icon128.png", "16": "icons/icon16.png", "48": "icons/icon48.png" }, "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDqVNg7JpOLxThfn7UEpt4RgPJ2BICUNwzY3lTD1TehrfNWTLY7LF/TqE990oIQ4QB6SsZwVOZnemqTi6IJTot9JfdE83YiEvpDMzPLKk/83GtXZWlBaQrliLiuCyBIhhzMiorzPPuXYSmkZRpYD5dU1s8S7Lw41xry3smsSwvayQIDAQAB", "manifest_version": 2, "name": "Radio Canyon", "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ], "update_url": "https://w9u6a2p6.ssl.hwcdn.net/plugin/chrome/update/60804.xml", "version": "1.26.100", "web_accessible_resources": [ "Settings.json" ] }, "path": "bikofacodmhdpkfdeeocponfcgjcdfbk\\1.26.100_0", "state": 1 }, ========================= Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions ======================== 2014-12-10 00:54 - 2014-12-10 00:54 - 0000000 ____D () C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions\bikofacodmhdpkfdeeocponfcgjcdfbk AdwCleaner tego nawet nie widzi, on wykrywa identyfikatory wtyczek, które są zablokowane (nie ma tego w postaci faktycznej instalacji) i czyścić nie ma po co: -\\ Opera v26.0.1656.32 [C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\preferences] - Found [Extension] : ejddjnilmdncjilbfjgameihlklfpohp [C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\preferences] - Found [Extension] : eagomcfjiefffhpaejnlpjccikpipdoe vs. "extensions": { (...) }, "blacklistupdate": { "version": "2014.1208.1319.15" }, (...) }, "eagomcfjiefffhpaejnlpjccikpipdoe": { "blacklist": true }, "ejddjnilmdncjilbfjgameihlklfpohp": { "blacklist": true }, Akcja: 1. W Operze CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj Radio Canyon. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions\bikofacodmhdpkfdeeocponfcgjcdfbk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przedstaw fixlog.txt i potwierdź, że problem adware ustąpił.

Czy po incydencie zmieniłeś dane logowania? Jeśli chodzi o ochronę przed keyloggerami, to wypróbuj aplikacje specjalizowane pod tym kątem: KeyScrambler (dostępna wersja darmowa Personal), SpyShelter (dostępna wersja darmowa Free), Zemana Antilogger (dostępna wersja darmowa Free). W podanych tu raportach nie widać żadnych czynnych śladów tego typu infekcji. Poniższe programy monitorujące to oczywiście celowa instalacja? Hidden Recorder (HKLM-x32\...\Hidden Recorder) (Version: - ) iSpy (HKLM-x32\...\{067B0B45-5718-4AF1-AAAB-A8D0894183A0}) (Version: 5.6.8 - iSpy) Ale i tak jest tu co czyścić: odpadki infekcji "policyjnej", adware i innych programów. Dodatkowa uwaga na temat poniższych plików, to nie są poprawne instalatory tylko śmieci, "Asystent pobierania" dobrychprogramów i "Softonic Downloader": KLIK. C:\Users\admin\Downloads\Comodo-Personal-Firewall(20399)-dp.exe C:\Users\admin\Downloads\SoftonicDownloader_dla_ashampoo-firewall.exe 1. Odinstaluj EZDownloader (adware), GeekBuddy (od COMODO) oraz stare wersje HiJackThis + Java 7 Update 25. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.flyandsearch.info/?pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD6400AACS-00G8B1_WD-WCAUF299592495924&ts=1383949410&type=default&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD6400AACS-00G8B1_WD-WCAUF299592495924&ts=1383949410&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=WDCXWD6400AACS-00G8B1_WD-WCAUF299592495924&ts=1383949410&type=default&q={searchTerms} SearchScopes: HKLM-x32 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000 -> DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL SearchScopes: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000 -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.flyandsearch.info/?l=1&q={searchTerms}&pid=724&r=2014/09/01&hid=10365097588873204831&lg=EN&cc=PL Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @esn/esnlaunch,version=2.1.7 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.7\npesnlaunch.dll No File FF Plugin HKU\S-1-5-21-1306738418-3678984601-3552450241-1000: @tools.google.com/Google Update;version=3 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin HKU\S-1-5-21-1306738418-3678984601-3552450241-1000: @tools.google.com/Google Update;version=9 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\dosearches.xml CHR Extension: (SweetIM for Facebook) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn [2014-09-01] CHR Extension: (SweetPacks Chrome Extension) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj [2014-09-01] CHR HKLM-x32\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files (x86)\TornTV.com\torn10.crx [Not Found] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-11-19] CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx [2012-11-19] HKU\S-1-5-21-1306738418-3678984601-3552450241-1000\...\Run: [Google Update] => "C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe" /c CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1306738418-3678984601-3552450241-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {0751FD4B-A42F-45B4-8F38-FE9EBCEC4A09} - System32\Tasks\{C3CBD61F-AF97-4051-91B8-C8D9B87716D4} => G:\EFILMLT.EXE Task: {0DF26EE2-EDB3-4EF5-9F4C-641FF82362D0} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000Core => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: {1352AD37-B7E1-49A6-AB74-6A70C9217E6B} - System32\Tasks\{6E86D655-DEA5-4B9A-9015-23676207B1C3} => J:\Obrazy\FIFA 13\Game\fifa13.exe Task: {2372425D-A07C-482E-A2C9-29935CB4906C} - System32\Tasks\{3FA0D398-1D0F-4674-BE27-ECF5EA30E675} => pcalua.exe -a "C:\Program Files (x86)\Pontifex II\SETUP.EXE" -d "C:\Program Files (x86)\Pontifex II" Task: {280B4450-1F5E-4747-B61E-5F9B41287935} - System32\Tasks\{426D6E68-D823-45A9-9A48-6099C157AD53} => E:\GRY ORIGIN\Battlefield 4 Beta\bf4.exe Task: {2D0AFBC3-B49D-4CB5-A45F-02DFDB142922} - System32\Tasks\{1DAA94B3-D2E5-45E4-A740-BF4D843B1A9A} => G:\eFilmLite\eFilmLt.exe Task: {51DFD1A8-3010-450C-8354-9B88DE7466BD} - System32\Tasks\{219F0107-1B03-4829-B312-DE392C48E705} => pcalua.exe -a "C:\Program Files (x86)\Nokia\Nokia PC Suite 7\ApplicationInstaller.exe" -d C:\Users\admin\Downloads -c "C:\Users\admin\Downloads\QuickMark_Big5_PlugIn_S60_2nd.SIS" Task: {5802663C-546F-4C0E-8C94-0C831D3D1724} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cis9BB2.exe [2014-12-09] (COMODO) Task: {9113A1BE-1F5E-42F3-BEB8-D8CEEE93BA8B} - System32\Tasks\{B4FF78E9-1A6C-45EB-8FF9-E28407DC20F0} => pcalua.exe -a C:\Users\admin\Downloads\Second_Life_Setup.exe -d C:\Users\admin\Downloads Task: {AF096DD8-55D2-4664-8032-C22924E81815} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000UA => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: {C85CD46C-8E6F-4DD3-BB3C-312BA2251516} - System32\Tasks\{770D11A4-6228-49A5-806F-016E7EDD1450} => E:\mosty\Bridge.exe Task: {D8A990E2-A9D1-468D-9F87-8E624814D5C9} - System32\Tasks\{B9EC4C24-6D33-4D15-929B-6DF42A39AF2B} => C:\Program Files (x86)\Free DVD Creator\dvdcreator.exe Task: {E23679E0-282E-4A8E-A58B-2A36E2A2B5F8} - System32\Tasks\{E8CAAF2E-C982-4C4D-8784-E3F987FBB7FD} => G:\eFilmLite\eFilmLt.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000Core.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1306738418-3678984601-3552450241-1000UA.job => C:\Users\admin\AppData\Local\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 ALSysIO; \??\C:\Users\admin\AppData\Local\Temp\ALSysIO64.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz135; \??\C:\Users\admin\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] S4 NVHDA; system32\drivers\nvhda64v.sys [X] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] C:\Program Files (x86)\EZDownloader C:\ProgramData\cis9BB2.exe C:\ProgramData\flwjycbm.bab C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pontifex II C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\admin\wgsdgsdgdsgsd.dll C:\Users\admin\AppData\Local\cache C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Local\Mobogenie C:\Users\admin\AppData\Roaming\apachesrvin.vbs C:\Users\admin\AppData\Roaming\die.bat C:\Users\admin\AppData\Roaming\Baidu C:\Users\admin\AppData\Roaming\Leadertech C:\Users\admin\AppData\Roaming\Leawo C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\admin\AppData\Roaming\Omerta C:\Users\admin\AppData\Roaming\OpenCandy C:\Users\admin\AppData\Roaming\systweak C:\Users\admin\Downloads\*(*)-dp*.exe C:\Users\admin\Downloads\SoftonicDownloader_*.exe C:\Users\Public\Desktop\COMODO Firewall.lnk C:\Windows\grep.exe C:\Windows\MBR.exe C:\Windows\PEV.exe C:\Windows\sed.exe C:\Windows\zip.exe C:\Windows\pss\runctf.lnk.Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^admin^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^runctf.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedConnectStartUp" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0F44DC3A-6E62-4961-A14B-95323C512F9B}_is1 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4820778D-AB0D-6D18-C316-52A6A0E1D507} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7DD5E91C-3864-77EC-7635-D14910C2A03E} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{FDB962F0-B5B8-9460-D12F-7966E97BAA43} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: type C:\Windows\System32\Tasks\{E9E4AF8A-D0FE-401B-9198-7C91007C3710} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Wyczyść przeglądarki z adware: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W podanych raportach nic nie widać, ale to dlatego, że używasz przeglądarkę Opera, a narzędzia FRST i OTL nie skanują w ogóle preferencji Opery. Dodaj skan niedomyślny. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Erhu\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynkowy fixlog.txt.