picasso

Sprawdź czy przejdzie ta oporna komenda z poziomu Trybu awaryjnego Windows. RemoveDirectory: C:\FRST\Quarantine

No to mamy z głowy. Finalizujemy sprawy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Pobrany GMER dokasuj ręcznie. 2. Proponuję wypróbować darmową wersję Malwarebytes Anti-Exploit, w celu podstawowego zabezpieczenia przed podobnymi przypadkami. Tu już wg uznania, choć im mniej ładuje się wtyczek w Firefox, tym lepiej. Z tych pozostałych, jeśli używane, możesz ustawić je na "Pytaj o aktywację". RayV Plugin powinno służyć do odtwarzania materiałów strumieniowych platformy RayV, nie wiem czy to jeszcze działa, gdyż w tym roku RayV przejęte zostało przez Yahoo.

Mimo wszystko dostarcz raporty FRST spod Windows.

Użycie ComboFix było tu niefortunne - nie odbyły się poprawne deinstalaje adware via Panel sterowania, ComboFix po prostu wybiórczo na chama wywalal z dysku. To ma skutki uboczne (większa ilość odpadkowych wpisów np. w rejestrze). I nie rozwiązał problemów zasadniczych, było to po prostu usuwanie na pół gwizdka. Czy notujesz poprawę w działaniu systemu i sieci po przeprowadzeniu podanych przeze mnie akcji? Wszystko zrobione. GS_Sustainer dokończę ręcznie. Wymagane też inne poprawki: 1. Zapomniałam podać poprzednio, że jeszcze Safari do deinstalacji. Stara nieaktualizowana i dziurawa przeglądarka. 2. Usunięcie szczątków odinstalowanych programów. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [spywareTerminatorShield] => C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.exe HKLM\...\Run: [spywareTerminatorUpdater] => C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath C:\Users\Administrator C:\Users\Gość C:\Program Files\004 C:\Program Files\coupon downloader C:\Program Files\CouponDownloader C:\Program Files\Quiknowledge C:\Program Files (x86)\Atlantis C:\Program Files (x86)\PLAY ONLINE C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Spyware Terminator C:\Program Files (x86)\Steam C:\Program Files (x86)\Tor C:\Program Files (x86)\Zero G Registry C:\ProgramData\ad8b0607b925e898 C:\ProgramData\Doctor Web C:\ProgramData\install_clap C:\ProgramData\Internet w Cyfrowym Polsacie C:\ProgramData\McAfee C:\ProgramData\neglfglbmccpmphoegndhmlcnbfnjfkn C:\ProgramData\Orbit C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Steam C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Poker MIRA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ParisVegasCasino C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SlotsMagic C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unibet Poker C:\Users\Jakub\AppData\Local\360Amigo C:\Users\Jakub\AppData\Local\AuxClient C:\Users\Jakub\AppData\Local\avgchrome C:\Users\Jakub\AppData\Local\BetOnSoft C:\Users\Jakub\AppData\Local\bluesoleil C:\Users\Jakub\AppData\Local\cache C:\Users\Jakub\AppData\Local\CarbonPoker C:\Users\Jakub\AppData\Local\Chromium C:\Users\Jakub\AppData\Local\Comodo C:\Users\Jakub\AppData\Local\CPN C:\Users\Jakub\AppData\Local\eclipse C:\Users\Jakub\AppData\Local\ESET C:\Users\Jakub\AppData\Local\FullTiltPoker C:\Users\Jakub\AppData\Local\FullTiltPoker.eu C:\Users\Jakub\AppData\Local\TB C:\Users\Jakub\AppData\Local\Torch C:\Users\Jakub\AppData\LocalLow\Sun C:\Users\Jakub\AppData\LocalLow\TB C:\Users\Jakub\AppData\Roaming\Ascarial C:\Users\Jakub\AppData\Roaming\BESTplayer C:\Users\Jakub\AppData\Roaming\betonline C:\Users\Jakub\AppData\Roaming\com.relax-gaming.skywalker C:\Users\Jakub\AppData\Roaming\fullflush C:\Users\Jakub\AppData\Roaming\GrandMacao C:\Users\Jakub\AppData\Roaming\Might & Magic Heroes VI C:\Users\Jakub\AppData\Roaming\PLAY ONLINE C:\Users\Jakub\AppData\Roaming\Steam C:\Users\Jakub\AppData\Roaming\WebApp C:\Users\Jakub\AppData\Roaming\WorldofTanks Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{4d349a54} /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt - przedstaw go. .

Brak danych o systemie. Skoro z dysku nic się nie da uruchomić (czyli i dostarczyć obowiązkowych raportów), poproszę o log FRST z poziomu środowiska zewnętrznego RE: KLIK.

Mamy kolejne problemy do rozwiązania, tzn. pozbycie się starych instalacji oprogramowania zabezpieczającego: archaiczny (z 2007!) Agnitum Outpost Firewall Pro skombinowany z niepoprawnie odinstalowanym McAfee który nadal się ładuje. To z pewnością blokuje normalny start systemu. Akcja: 1. Rozpocznij od poprawnych deinstalacji via Panel sterowania następujących pozycji: - Stare wersje: Adobe AIR, Adobe Flash Player 14 ActiveX, Adobe Reader 9.1 - Polish, Agnitum Outpost Firewall Pro, Java™ 6 Update 30, Skype™ 4.2. - Adware/niepożądane aplikacje: FoxTab FLV Player, FoxTab Music Converter, FoxTab PDF Creator. 2. Zastosuj McAfee Consumer Products Removal tool. 3. Posługujesz się starym FRST - pobierz najnowszą wersję z przyklejonego i zrób nowe logi: główny + Addition, Shortcut niepotrzebny już ponownie. .

Takie drobne instalacje są tu bez znaczenia, miałam na myśli instalacje oparte na sterownikach (czyli np. najnowsza wersja MagicISO). Z tymi powstrzymaj się jeszcze, dopóki nie przejdziemy do określonego etapu. 1. Uruchom Operę (tę najnowszą) i w opcjach w zarządzaniu wyszukiwarkami skasuj wyszukiwarkę adware kierującą na adres mystart.incredibar.com. Następnie w AdwCleaner wybierz sekwencję Szukaj + Usuń. Log już niepotrzebny. 2. FRST wyłożył się na usuwaniu własnej kwarantanny. Ładuj nowy skrypt fixlist.txt o postaci poniżej i dostarcz wynikowy fixlog.txt. RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine

Proszę ponownie dostarcz log z FRST z poziomu środowiska zewnętrznego RE: KLIK.

Uwagi wstępne: - System jest potwornie zaśmiecony adware (m.in. mnóstwo sterowników się ładuje w tle). Dodatkowo, adware przekonwertowało wersję przeglądarki Google Chrome z wersji stabilnej do development i wymagana kompleksowa einstalacja. Adware nabyłeś na jeden z tych sposobów: KLIK. O zgrozo, najnowszy nabytek (czyli Faster Light) niestety z dobrychprogramów przy pobieraniu Sopcast (uruchomiłeś "Asystenta pobierania" a nie poprawny instalator). - Prócz adware, są tu także lewe skanery wątpliwej reputacji mające negatywny wpływ na system, czyli SpyHunter i YAC. O YAC szczegółowo pisałam w tym temacie: KLIK. Na okrasę działa tu jeszcze przeterminowny i kompletnie zbędny przy Nortonie Spyware Terminator 2012. - Używałeś ComboFix. Na przyszłość dlaczego nie jest to dobry pomysł: KLIK. Wstępnie przeprowadź następujące operacje, kolejność jest ścisła: 1. Przez Panel sterowania odinstaluj adware, wątpliwe skanery i stare wersje: Faster Light, Google Chrome, Java 7 Update 55 (64-bit), GS_Sustainer 1.80, Qtrax Player, SpyHunter, Spyware Terminator 2012, YAC(Yet Another Cleaner!). Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki. Resztę dokończy mój skrypt poniżej. Nie instaluj na razie ani Google Chrome, ani innych programów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {023ffe30-e38b-4272-b1c0-1e9f6a180b9d}w64; C:\Windows\System32\drivers\{023ffe30-e38b-4272-b1c0-1e9f6a180b9d}w64.sys [48784 2014-10-22] (StdLib) R1 {146928e7-d9fa-4f71-af0f-f42261fb9843}w64; C:\Windows\System32\drivers\{146928e7-d9fa-4f71-af0f-f42261fb9843}w64.sys [48784 2014-10-14] (StdLib) R1 {2f76abac-1058-4d18-a9d9-382d3a1b32c3}w64; C:\Windows\System32\drivers\{2f76abac-1058-4d18-a9d9-382d3a1b32c3}w64.sys [48784 2014-10-15] (StdLib) R1 {35d31228-a1dd-4d11-a2ff-ef6ba162cebd}w64; C:\Windows\System32\drivers\{35d31228-a1dd-4d11-a2ff-ef6ba162cebd}w64.sys [48784 2014-10-15] (StdLib) R1 {544deb5f-dfba-4914-8002-1f35ae7182a3}w64; C:\Windows\System32\drivers\{544deb5f-dfba-4914-8002-1f35ae7182a3}w64.sys [48784 2014-10-18] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}Gw64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys [61072 2014-07-25] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [61584 2014-08-07] (StdLib) R1 {5637c139-b301-4ecd-a2cf-2ae75f214b07}w64; C:\Windows\System32\drivers\{5637c139-b301-4ecd-a2cf-2ae75f214b07}w64.sys [48784 2014-10-21] (StdLib) R1 {76152aee-de6d-453d-a8d8-6f11a0085df8}w64; C:\Windows\System32\drivers\{76152aee-de6d-453d-a8d8-6f11a0085df8}w64.sys [48784 2014-10-19] (StdLib) R1 {7e4355b8-96cd-43eb-b59a-82af29f01b16}w64; C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w64.sys [48784 2014-10-22] (StdLib) R1 {871e60bd-7aec-4938-a4b2-ffde58590efe}w64; C:\Windows\System32\drivers\{871e60bd-7aec-4938-a4b2-ffde58590efe}w64.sys [48784 2014-10-18] (StdLib) R1 {999a4cbb-05c0-4612-9e48-e2b9897a2c6f}w64; C:\Windows\System32\drivers\{999a4cbb-05c0-4612-9e48-e2b9897a2c6f}w64.sys [48784 2014-10-20] (StdLib) R1 {a5b0d4ec-75a8-4454-a9c1-5675585828ec}w64; C:\Windows\System32\drivers\{a5b0d4ec-75a8-4454-a9c1-5675585828ec}w64.sys [48784 2014-10-17] (StdLib) R1 {af7618ea-6d4f-47e5-9e06-5f808487ae22}w64; C:\Windows\System32\drivers\{af7618ea-6d4f-47e5-9e06-5f808487ae22}w64.sys [48784 2014-10-19] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64.sys [61120 2014-04-24] (StdLib) R1 {b99c8534-7800-48fa-bd71-519a46cdc7e1}w64; C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys [61120 2014-05-22] (StdLib) R1 {c42edeec-c173-4c88-9a7f-6934088af032}w64; C:\Windows\System32\drivers\{c42edeec-c173-4c88-9a7f-6934088af032}w64.sys [48784 2014-10-20] (StdLib) R1 {c746a0c9-95e3-4ce8-9e9f-58fac8587b02}w64; C:\Windows\System32\drivers\{c746a0c9-95e3-4ce8-9e9f-58fac8587b02}w64.sys [48784 2014-10-17] (StdLib) R1 {d6c3bca9-e5f7-466a-ab38-ae66db286392}w64; C:\Windows\System32\drivers\{d6c3bca9-e5f7-466a-ab38-ae66db286392}w64.sys [48784 2014-10-16] (StdLib) R1 {f7e972a4-3731-46b4-91a5-4140fc1009e8}w64; C:\Windows\System32\drivers\{f7e972a4-3731-46b4-91a5-4140fc1009e8}w64.sys [48784 2014-10-16] (StdLib) U5 AppMgmt; C:\Windows\system32\svchost.exe [29696 2012-10-30] (Microsoft Corporation) R2 MaintainerSvc2.02.5636706; C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8\maintainer.exe [123632 2014-12-10] () R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-07] () [File not signed] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S2 SDScannerService; "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe" [X] S2 SDUpdateService; "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe" [X] S2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [X] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] S2 Util Deal Keeper; "C:\Program Files (x86)\Deal Keeper\bin\utilDealKeeper.exe" [X] S1 qknfd; system32\drivers\qknfd.sys [X] Task: {44CA5A3B-6ADD-459E-A286-E1F9C54D3B76} - \Optimizer Pro Schedule No Task File Task: {565D151E-94BC-4423-A7AF-7D490D2BACCD} - System32\Tasks\RegClean Pro_UPDATES => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {6AE3FD03-9227-4E06-AED8-3D8A96DD0E27} - \Yahoo! Search Updater No Task File Task: {A4BCA62E-4917-4FE6-97E5-1D70C21F57FC} - \AdobeFlashPlayerUpdate No Task File Task: {B5B8A379-964D-4D1F-B339-D3DEF324A372} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe Task: {BF24ADAC-A313-438F-848F-783951D0D833} - \Yahoo! Search No Task File Task: {D2B8CCB8-F3B7-42F8-8223-D14439F9660F} - \SpyHunter4Startup No Task File Task: {DB129E4B-B7D4-484C-9B85-A366DDA0C299} - \AdobeFlashPlayerUpdate 2 No Task File Task: {E3E28708-8485-47A2-8BBD-109F782C6063} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe HKU\S-1-5-21-632503941-784987641-2221626834-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-632503941-784987641-2221626834-1001\...\Run: [Yahoo! Search] => C:\Users\Jakub\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-632503941-784987641-2221626834-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400746170&from=cor&uid=TOSHIBAXMQ01ABD050_Z2EBP4YRTXXZ2EBP4YRT&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400746170&from=cor&uid=TOSHIBAXMQ01ABD050_Z2EBP4YRTXXZ2EBP4YRT&q={searchTerms} HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1402563856&from=wpm0612&uid=TOSHIBAXMQ01ABD050_Z2EBP4YRTXXZ2EBP4YRT&q={searchTerms} HKU\S-1-5-21-632503941-784987641-2221626834-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-19 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-19 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-20 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-20 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1418122108 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1417896028 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=toshibaxmq01abd050_z2ebp4yrtxxz2ebp4yrt&ts=1417896028 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> {956E33D5-F9E3-41C7-8976-891429F9B936} URL = http://rts.dsrlte.com/?q={searchTerms}&r=862 SearchScopes: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130411&user_guid=86697ECB1E2C43E6804F6568A3F69CF6&machine_id=09ea5fdad62f6076ae03a91a4caca32a&browser=IE&os=win&os_version=6.2-x64-SP0&iesrc={referrer:source} BHO-x32: YooutubeeAdBlockeu -> {00f81ea5-d836-409f-b60f-dbf2ea98d48b} -> C:\Program Files (x86)\YooutubeeAdBlockeu\7BdZ9oQlEZNXLu.dll No File BHO-x32: SaveerExttensiionu -> {0aa1da7c-a556-415f-81de-86bd4759e681} -> C:\ProgramData\SaveerExttensiionu\qnb0vQVWC2v1sc.dll No File BHO-x32: Deal Keeper -> {1ec8187a-6435-44e3-bbe4-6ce6d3c69254} -> C:\Program Files (x86)\Deal Keeper\DealKeeperBHO.dll No File BHO-x32: GGoSAvEE -> {69b7de13-dbbf-4f01-a0d0-e78e170f0785} -> C:\ProgramData\GGoSAvEE\d3J1j3rzfHg5Ar.dll No File BHO-x32: SaverExtension -> {7fbbb258-aa77-41e4-abc1-7c322c0539b1} -> C:\ProgramData\SaverExtension\47FtM2b8KBJDZN.dll No File BHO-x32: GGoSave -> {8dc3962e-0cee-4e31-a9d7-cae8a26b8f5b} -> C:\Program Files (x86)\GGoSave\ghatrWl2iCuQDz.dll No File BHO-x32: FIndBEstDeaili -> {fd6cd95c-f512-49f0-81d1-f4ceb7269849} -> C:\ProgramData\FIndBEstDeaili\Zosc8qp3Jjhz5D.dll No File Toolbar: HKU\S-1-5-21-632503941-784987641-2221626834-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll No File FF HKLM-x32\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\Jakub\AppData\Roaming\Mozilla\Firefox\Profiles\abtftqck.default-1379621071496\extensions\quick_start@gmail.com FF HKLM-x32\...\Firefox\Extensions: [shortcutff@gmail.com] - C:\Users\Jakub\AppData\Roaming\Mozilla\Firefox\Profiles\abtftqck.default-1379621071496\extensions\shortcutff@gmail.com C:\Program Files\Enigma Software Group C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Faster Light C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Tor C:\ProgramData\d7a0fe93-7bf3-4f3d-89c3-fe4e144b2eb8 C:\ProgramData\AVAST Software C:\ProgramData\Spyware Terminator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spyware Terminator 2012 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC C:\Users\Jakub\AppData\Local\CRE C:\Users\Jakub\AppData\Local\Google C:\Users\Jakub\AppData\Roaming\Elex-tech C:\Users\Jakub\AppData\Roaming\ESET C:\Users\Jakub\AppData\Roaming\EurekaLog C:\Users\Jakub\AppData\Roaming\rmi C:\Users\Jakub\AppData\Roaming\Spyware Terminator C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\SendTo\Xfire Friend.lnk C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\337Games C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Jakub\Desktop\Nowy folder\Spyware Terminator 2012.lnk C:\Users\Jakub\Downloads\*(*)-dp*.exe C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP C:\Windows\msdownld.tmp C:\Windows\system32\log C:\Windows\System32\drivers\{023ffe30-e38b-4272-b1c0-1e9f6a180b9d}w64.sys C:\Windows\System32\drivers\{146928e7-d9fa-4f71-af0f-f42261fb9843}w64.sys C:\Windows\System32\drivers\{2f76abac-1058-4d18-a9d9-382d3a1b32c3}w64.sys C:\Windows\System32\drivers\{35d31228-a1dd-4d11-a2ff-ef6ba162cebd}w64.sys C:\Windows\System32\drivers\{544deb5f-dfba-4914-8002-1f35ae7182a3}w64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys C:\Windows\System32\drivers\{5637c139-b301-4ecd-a2cf-2ae75f214b07}w64.sys C:\Windows\System32\drivers\{76152aee-de6d-453d-a8d8-6f11a0085df8}w64.sys C:\Windows\System32\drivers\{7e4355b8-96cd-43eb-b59a-82af29f01b16}w64.sys C:\Windows\System32\drivers\{871e60bd-7aec-4938-a4b2-ffde58590efe}w64.sys C:\Windows\System32\drivers\{999a4cbb-05c0-4612-9e48-e2b9897a2c6f}w64.sys C:\Windows\System32\drivers\{a5b0d4ec-75a8-4454-a9c1-5675585828ec}w64.sys C:\Windows\System32\drivers\{af7618ea-6d4f-47e5-9e06-5f808487ae22}w64.sys C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}Gw64.sys C:\Windows\System32\drivers\{b99c8534-7800-48fa-bd71-519a46cdc7e1}w64.sys C:\Windows\System32\drivers\{c42edeec-c173-4c88-9a7f-6934088af032}w64.sys C:\Windows\System32\drivers\{c746a0c9-95e3-4ce8-9e9f-58fac8587b02}w64.sys C:\Windows\System32\drivers\{d6c3bca9-e5f7-466a-ab38-ae66db286392}w64.sys C:\Windows\System32\drivers\{f7e972a4-3731-46b4-91a5-4140fc1009e8}w64.sys C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\iSafeKrnlBoot.sys C:\Windows\system32\Drivers\iSafeNetFilter.sys C:\Windows\system32\Drivers\msbsdurm.sys C:\sh4ldr Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SDTray /f Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /f reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Jakub\AppData\Local CMD: dir /a C:\Users\Jakub\AppData\LocalLow CMD: dir /a C:\Users\Jakub\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz C:\ComboFix.txt. PS. Poprzednie posty skleiłam dla czytelności, ale odpowiadasz mi już w nowym poście.

Tu jeszcze nie koniec operacji i na razie żadnych nowych instalacji. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{90c7f176-1ff4-41cd-b629-0ebc82083006} /f RemoveDirectory: C:\Documents and Settings\ania\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\macio\Pulpit\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

rudyesq, nie przejrzałam dokładnie raportu z Process Monitor, bo nawet nie doszłam do tego Silverlight. Od razu mnie zatrzymała widoczna tam lista procesów i aktywni delikwenci: Description: IePlugin Service Company: Cherished Technololgy LIMITED Name: PluginService.exe Version: 13.27.0.746 Path: C:\ProgramData\IePluginServices\PluginService.exe Command Line: C:\ProgramData\IePluginServices\PluginService.exe -service PID: 1604 Parent PID: 736 Session ID: 0 User: ZARZĄDZANIE NT\SYSTEM Auth ID: 00000000:000003e7 Architecture: 32-bit Virtualized: False Integrity: Etykieta obowiązkowości\Poziom obowiązkowości — system Started: 2014-11-25 18:08:16 Ended: (Running) Modules: PluginService.exe 0xc40000 0xb2000 C:\ProgramData\IePluginServices\PluginService.exe Cherished Technololgy LIMITED 13.27.0.746 Description: WindowsProtectManger Service Company: Fuyu LIMITED Name: ProtectWindowsManager.exe Version: 20.0.0.1270 Path: C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe Command Line: C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service PID: 1680 Parent PID: 736 Session ID: 0 User: ZARZĄDZANIE NT\SYSTEM Auth ID: 00000000:000003e7 Architecture: 32-bit Virtualized: False Integrity: Etykieta obowiązkowości\Poziom obowiązkowości — system Started: 2014-11-25 18:08:18 Ended: (Running) Modules: ProtectWindowsManager.exe 0x820000 0x7b000 C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe Fuyu LIMITED 20.0.0.1270 2014-11-12 07:38:46 System znów został zainfekowany adware. Proszę o nowy komplet wszystkich logów FRST (z najnowszej wersji).

Sprawdź co widzi Autoruns w karcie Scheduled Tasks (włączone pokazywanie wpisów Microsoftu) - czy widać tam ścieżkę: \Microsoft\Windows\Defrag\ScheduledDefrag Moduł Defragmentatora dysków Microsoft Corp. c:\windows\system32\defrag.exe 2009-07-14 00:23

Czy na pewno podejmowałeś się próby deinstalacji obu programów? Adware "Search Protection" nadal widnieje na liście zainstalowanych i na dodatek czynnie uruchamia się w tle. Jeśli na 100% była próba deinstalacji nie tylko "Browser Extensions", ale i "Search Protection", to ręczne poprawki na tego śmiecia oraz szczątki po odinstalowanym Auslogic: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1064554875-340528550-2733695748-1000\...\Run: [search Protection] => C:\Users\ADMIN\AppData\Roaming\Search Protection\SP.EXE [1127224 2014-12-04] () Task: {01B13DEE-0EBC-44E7-875D-60A3AC10B86B} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed оn ADMIN logon => C:\Program Files (x86)\Auslogics\BoostSpeed\BoostSpeed.exe Task: {E6B59B20-BBC7-4F70-9C08-16201FBD99A5} - System32\Tasks\Auslogics\BoostSpeed\Scan and Repair => Rundll32.exe TaskSchedulerHelper.dll,RunTask "BoostSpeed.exe" "-UseTray -Schedule" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1064554875-340528550-2733695748-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1064554875-340528550-2733695748-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\ADMIN\AppData\Roaming\BrowserExtensions\Coupons64.dll No File C:\Program Files (x86)\Auslogics C:\ProgramData\Auslogics C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Auslogics C:\Users\ADMIN\AppData\Roaming\Search Protection C:\Windows\System32\Tasks\Auslogics RemoveDirectory: C:\Users\ADMIN\Desktop\Stare dane programu Firefox Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Protection" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, aż nastąpi restart systemu. Powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Opisz jak się zachowuje system. .

Jeśli chodzi o adware, to uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. PS. Jakoś nie zauważyłam tego komentarza: Ad-Aware SE Personal owszem tak, ale tu była nowoczesna wersja Ad-Aware Antivirus chodząca na silniku BitDefender, nie tak dużo starsza od najnowszej dostępnej wersji. Ad-Aware Antivirus (HKLM\...\{E39A80AE-0CC0-43EE-AB6B-BE11DC4F969F}_AdAwareUpdater) (Version: 11.3.6321.0 - Lavasoft) R1 BdfNdisf; c:\program files\lavasoft\ad-aware antivirus\firewall engine\1.6.0.0\drivers\bdfndisf6.sys [93160 2014-04-22] (BitDefender LLC) R1 bdfwfpf; C:\Program Files\Lavasoft\Ad-Aware Antivirus\Firewall Engine\1.6.0.0\Drivers\bdfwfpf.sys [102992 2014-04-22] (BitDefender LLC) R3 gzflt; C:\Program Files\Lavasoft\Ad-Aware Antivirus\Antimalware Engine\3.0.0.56\gzflt.sys [150256 2014-04-22] (BitDefender LLC)

Skan checkdisk wykonany spod działającego systemu jest niewiarygodny, gdyż wolumin nie jest zablokowany i aktywność rozmaitych procesów może tworzyć fałszywe alarmy. Tu problem z "mapą bitową" może być jednym z nich. Wg raportu w BootExecute siedzą następujące komendy (PDBoot.exe pochodzi od PerfectDisk): BootExecute: autocheck autochk /p \??\C: PDBoot.exe autocheck autochk * Spróbujmy to zresetować do postaci domyślnej i ponowisz operację. Przy okazji usuwanie szczątków adware "DeltaFix" gerujących błędy w Dzienniku: System errors: ============= Error: (12/06/2014 10:48:56 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą DeltaFix. 1. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk /p \??\C:PDBoot.exeautocheck autochk * S2 fc67e7a0; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\DeltaFix\DeltaFix.dll",serv CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope value is missing. C:\ProgramData\TEMP EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. W cmd ruchomionym jako adminitrator wklep chkdsk /f /r, zatwierdź i zresetuj system. PS. I jeszcze do korekty uszkodzony skrót Internet Explorer. W pasku adresów eksploratora wklej ścieżkę C:\Users\stefel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff .

Brak danych o systemie. Poproszę o dostarczenie raportów FRST.

Temat założony w niewłaściwym dziale. Przenoszę do działu diagnostyki infekcji, gdyż mamy tu do czynienia z problemem paskudnych i mnogich instalacji adware. Usuwanie będzie podzielone na kilka etapów. Wstępnie przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64; C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys [48824 2014-10-19] (StdLib) R1 {1de0dec0-675e-482f-a756-fd24c6796c8e}w64; C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys [48832 2014-12-05] (StdLib) R1 {3c9eada7-386c-4a04-ab1e-4eb122397ced}w64; C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys [48824 2014-10-21] (StdLib) R1 {44b76908-31ad-4fdd-90ce-abbdbb78f175}w64; C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys [48824 2014-10-15] (StdLib) R1 {6191cc23-5db4-4079-aaac-546c45b08af1}w64; C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys [48824 2014-10-23] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys [61112 2014-07-08] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61624 2014-08-06] (StdLib) R1 {9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64; C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys [48824 2014-10-17] (StdLib) R1 {a00759f4-8f6e-4f04-880d-18a7306588c3}w64; C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys [48824 2014-10-13] (StdLib) R1 {b66d62b0-ebea-42c8-88c7-71cdab32919e}w64; C:\Windows\System32\drivers\{b66d62b0-ebea-42c8-88c7-71cdab32919e}w64.sys [48832 2014-11-30] (StdLib) R1 {b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64; C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys [48832 2014-11-28] (StdLib) R1 {cb987b80-b481-4623-9e86-1b830e33479a}w64; C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys [48832 2014-11-27] (StdLib) R1 {cfbbf934-a234-4282-8ef3-310abb84c3e4}w64; C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys [48824 2014-10-19] (StdLib) R1 {df8d93ab-56ab-414d-b711-87b0e2749bbd}w64; C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys [48824 2014-10-17] (StdLib) R1 {f916f162-d4e9-413b-95d2-589769dc98ff}w64; C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys [48824 2014-10-15] (StdLib) S4 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc2.cfg [41872 2014-07-16] (Aztec Media Inc) R3 SPBIUpdd; C:\Program Files\Common Files\ShopperPro\spbiw.sys [41856 2014-12-02] () R2 SPDRIVER_1.37.0.486; C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.sys [52584 2014-11-24] () S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-11] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-08-11] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [759688 2014-07-09] (Cherished Technololgy LIMITED) R2 MaintainerSvc2.04.9173792; C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2014-12-06] () R2 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe [2346880 2014-12-02] (ShopperPro) R2 Update NetCrawl; C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe [523552 2014-12-06] () R2 Util NetCrawl; C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe [524064 2014-12-06] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [535936 2014-07-09] (Fuyu LIMITED) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2014-08-11] (GOOBZO) Task: {16D317AB-8E0C-4AE4-B313-7AE6781B405F} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe [2014-08-11] (iWebar) Task: {1A20BD29-3D03-45A4-B549-B0FB5C474CFC} - System32\Tasks\UNELEVATE_18933 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {21109AF4-CD87-43DE-BCAC-5D754546BB29} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-11] (globalUpdate) Task: {3AFC1BCB-DF81-46E1-A4FB-1A2F670F63A9} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe [2014-08-11] (iWebar) Task: {44D96133-C53F-46CF-8E5F-179390774BEE} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe [2014-06-15] (Goobzo LTD) Task: {4BBA6643-3770-4ADB-9A73-5FC93F515F36} - System32\Tasks\Yahoo! Search Updater => C:\Users\Kuba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrsetup.exe [2014-10-28] (Pay By Ads LTD) Task: {53F8F166-C56D-4062-BB51-015770B787E2} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-02] (Goobzo) Task: {621B6E71-DAD1-45FF-9DAD-8B22219B93F1} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe [2014-08-11] (Object Browser) Task: {6A508869-4DE6-434C-ACDB-A7C06FC076FB} - System32\Tasks\UNELEVATE_1370 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {6D6AA47E-413C-4DFB-B24F-847072268C01} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {76AE72D9-603B-44C5-B22C-6DEDED81886D} - System32\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4 => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe [2014-08-11] (Object Browser) Task: {7AF6F753-D989-417E-BB27-1E37EEAFE134} - System32\Tasks\AppCloudUpdater => C:\Users\Kuba\AppData\Roaming\AppCloudUpdater\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {7B9805F7-8EF3-49A0-A714-B04065FF857C} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe Task: {7F715724-02F0-49E1-9FAC-BA7B93AF1F7E} - System32\Tasks\AppSafe => C:\Program Files (x86)\AppSafe\AppSafe.exe Task: {866DA713-6504-4DA3-94E0-3E565DC3A1C1} - System32\Tasks\SPBIW_UpdateTask_Time_323235303931333934342d414a34413734452a786c5a5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {86F309FB-169D-47DA-A46A-CF97B7F9E67B} - System32\Tasks\UNELEVATE_462 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [2014-11-24] () Task: {8D70FD3A-56C5-4111-A335-1C180DE08BC9} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2 => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe [2014-08-11] (iWebar) Task: {933B8981-251D-4824-8CEC-87A8CA4114AD} - System32\Tasks\Yahoo! Search => C:\Users\Kuba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [2014-10-28] (Pay By Ads LTD) Task: {97BDF87A-DCC5-49E2-81A9-32F37B08704D} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-08-11] (globalUpdate) Task: {A4E34F8C-3834-4A6D-B2F7-77CE9DC3F783} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {A5C58D27-CE98-49F4-A37E-EA806F438A8E} - System32\Tasks\Math Problem Solver CPU => C:\Users\Kuba\AppData\Local\Math Problem Solver\cpu\Solve.exe [2014-01-23] () Task: {AECEF5CE-757A-4ECC-8366-A0EF3C756ACD} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe Task: {C8A5E979-23D1-4D94-BD26-C5B23FBB9730} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6 => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe [2014-08-11] (iWebar) Task: {D37B20AD-823E-4F50-BF9D-EBAD57607660} - System32\Tasks\Math Problem Solver Optimize => C:\Users\Kuba\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {DC91D712-4AA3-437F-9BD6-A84EBAFDCEE3} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7 => C:\Program Files (x86)\iWebar\iWebar-nova.exe [2014-08-11] (iWebar) Task: {FC2DAA8F-87AB-4BA1-B5B7-8AAB194A2763} - System32\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1 => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe [2014-08-11] (iWebar) Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-1.job => C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-2.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-4.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.job => C:\Program Files (x86)\iWebar\4bd3ec58-c42f-443e-8edb-0a5b2d035380-5.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-6.job => C:\Program Files (x86)\iWebar\iWebar-novainstaller.exe Task: C:\Windows\Tasks\4bd3ec58-c42f-443e-8edb-0a5b2d035380-7.job => C:\Program Files (x86)\iWebar\iWebar-nova.exe Task: C:\Windows\Tasks\AppCloudUpdater.job => C:\Users\Kuba\AppData\Roaming\APPCLO~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\AppSafe.job => C:\Program Files (x86)\AppSafe\AppSafe.exe Task: C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-2.exe Task: C:\Windows\Tasks\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.job => C:\Program Files (x86)\Sense\fbe97edd-eb2f-44c5-b8f7-f44c01ece1de-4.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe HKLM-x32\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [3224064 2014-11-24] () HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Run: [AppSafe] => C:\Program Files (x86)\AppSafe\AppSafe.exe HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Run: [sPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.486\jsdrv.exe [3224064 2014-11-24] () HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Run: [Yahoo! Search] => C:\Users\Kuba\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.15.4\dsrlte.exe [533352 2014-10-28] (Pay By Ads LTD) HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\MountPoints2: {576c0ff0-1279-11e4-964d-485ab603288a} - F:\LGAutoRun.exe AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\PROGRA~2\SupTab\SEARCH~2.DLL File Not Found AppInit_DLLs-x32: c:\progra~2\suptab\search~1.dll => "c:\progra~2\suptab\search~1.dll" File Not Found IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-633783451-1812332228-2872719219-1000\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - No Path ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Kuba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=scpp&ts=1405077162&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939 HKU\S-1-5-21-633783451-1812332228-2872719219-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://rts.dsrlte.com?affID=na HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp4 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1404925820&from=cor&uid=WDCXWD5000LPVX-80V0TT0_WD-WX51A93Y3939Y3939&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=414&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=414&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-633783451-1812332228-2872719219-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13396&tm=414&src=ds&p={searchTerms} BHO: iWebar -> {11111111-1111-1111-1111-110311551110} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll (iWebar) BHO: Sense -> {11111111-1111-1111-1111-110411821192} -> C:\Program Files (x86)\Sense\Sense-bho64.dll (Object Browser) BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\Kuba\AppData\Local\Linkey\IEExtension\iedll64.dll (Aztec Media Inc) BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.) BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.) BHO-x32: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\Kuba\AppData\Local\Linkey\IEEXTE~1\iedll.dll No File BHO-x32: NetCrawl 1.0.0.5 -> {769a91da-209f-47fe-88b9-b0321b0982c8} -> C:\Program Files (x86)\NetCrawl\NetCrawlBHO.dll (NetCrawl) BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.) BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll (Goobzo Ltd.) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\globalUpdate C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\ProgramData\TEMP C:\Users\Kuba\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Kuba\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Kuba\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Kuba\Desktop\_\*.lnk C:\Users\Kuba\Downloads\battlelog-web-plugins_*.exe C:\Users\Kuba\Downloads\InstallFlashPlayerUpdate*.exe C:\Users\Kuba\Downloads\UnityWebPlayer*.exe C:\Users\Kuba\Downloads\yet_another_cleaner*.exe C:\Windows\System32\drivers\{0c6ad4fc-d56b-44cb-a06e-debba12bf68a}w64.sys C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys C:\Windows\System32\drivers\{b66d62b0-ebea-42c8-88c7-71cdab32919e}w64.sys C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys C:\Windows\System32\drivers\{cfbbf934-a234-4282-8ef3-310abb84c3e4}w64.sys C:\Windows\System32\drivers\{df8d93ab-56ab-414d-b711-87b0e2749bbd}w64.sys C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys CMD: C:\Windows\SysWOW64\regsv32.exe /u "C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll" CMD: C:\Windows\SysWOW64\regsv32.exe /u C:\ProgramData\YTAHelper\YTAHelper.dll CMD: netsh winsock reset Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart systemu - opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: AppCloudUpdater, iWebar, Linkey, Math Problem Solver, My Program version 1.5, NetCrawl, Remote Desktop Access, Sense, Settings Manager, Shopper-Pro, WindowsMangerProtect20.0.0.502, Yahoo! Search. - Stare wersje: Adobe Flash Player 11, Java™ 6 Update 17. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj NetCrawl (o ile będzie nadal widoczny po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Żadne z narzędzi nie skanuje konfiguracji Opery - zweryfkuj samodzielnie w rozszrzeniach czy są jakieś podejrzane dodatki, a znalezione odinstaluj. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Czarny, następnym razem załóż własny temat. Jeśli pijesz do G Data, to w tym temacie wyszło na jaw, że problem otwierania SysWOW64 tworzy poniższy wpis: KLIK. HKLM-x32\...\Run: [G Data ASM] - C:\Program Files (x86)\G Data\InternetSecurity\DelayLoader\AutorunDelayLoader.exe [472016 2013-02-25] (G Data Software AG)

Końcowe uwagi: - W skanie było widać zbędnik McAfee Security Scan. Odinstaluj. - Przez SHIFT+DEL (omija Kosz) usuń folder C:\FRST oraz używane materiały na pendrive. Temat rozwiązany. Zamykam.

Uzupełniłeś dane, więc mogę przejść do analizy: Zaprezentuj raport z narzędzia - w czym (ścieżka dostępu) jest widziany rootkit i jak narzędzie go nazywa. O jakim ukrytym pliku mowa? Wyjaśnij o co Ci chodzi. Dodatkowo objaśnij "15 folderów Appdata" - czy przypadkim nie chodzi o to: KLIK? Jeśli chodzi o dostarczone logi: - Widzę że stosowałeś jak szalony rozmaite oprogramowanie do skanów i resetów. HijackThis: zapomnij o tym narzędziu. Masz system 64-bit, HijackThis to program 32-bit, nie ma żadnej zgodności z systemem 64-bit (brak dostępu do natywnie 64-bitowej wersji) i pokazuje głupoty (fałszywe "file missing"). Próbując coś nim "naprawiać" można uszkodzić system. - Nie ma żadnych oznak czynnej infekcji. Do korekty tylko sztuczne obiekty dorobione przez ComboFix, odpadki określonych skanerów oraz usunięcie folderu C:\Recycled (taki folder Kosza nie powinien występować na Windows 7). Otwórz Notatnik i wklej w nim: CloseProcesses: U3 catchme; \??\C:\ComboFix\catchme.sys [X] HKU\S-1-5-21-2376877967-2081922626-2068000606-1000\...\Run: [HijackThis startup scan] => C:\Users\Mariusz\Desktop\HijackThis\HijackThis.exe [1306624 2011-04-11] (Trend Micro Inc.) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2376877967-2081922626-2068000606-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2376877967-2081922626-2068000606-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) C:\Recycled C:\ProgramData\Spybot - Search & Destroy C:\Windows\system32\Drivers\etc\hosts.*.backup C:\Windows\system32\Drivers\is-GJ4SP.tmp C:\Windows\system32\Drivers\is-HRU1D.tmp Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. .

W systemie występuje poprawna kopia pliku disk.sys mająca identyczną sumę kontrolną MD5 jak w moim XP SP3 PL i tę kopię "przesunę" do głównego wystąpienia w drivers. Przy okazji kolejna runda usuwania szczątków odinstalowanych aplikacji. 1. Odinstalowałeś Nero 9 Essentials, wpis nadal widoczny na liście zainstalowanych. Posłuż się tym samym narzędziem które użyłeś do likwidacji Java: KLIK. 2. Podmiana disk.sys i usunięcie pozostałych szczątków. Otwórz Notatnik i wklej w nim: Replace: C:\WINDOWS\ServicePackFiles\i386\disk.sys C:\WINDOWS\system32\drivers\disk.sys R1 cdrbsdrv; C:\WINDOWS\system32\Drivers\cdrbsdrv.sys [38944 2010-03-07] (B.H.A Corporation) S3 mcdbus; C:\WINDOWS\System32\DRIVERS\mcdbus.sys [116736 2009-02-24] (MagicISO, Inc.) [File not signed] S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfo.sys [X] S3 Nero BackItUp Scheduler 4.0; C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 SgtSch2Svc; "C:\Program Files\Common Files\Seagate\Schedule2\schedul2.exe" [X] ShortcutWithArgument: C:\Documents and Settings\macio\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera (2).lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC ShortcutWithArgument: C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1415003126&from=smt&uid=ST3500418AS_6VM2QEKCXXXX6VM2QEKC C:\Documents and Settings\All Users\Dane aplikacji\Autodesk C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\All Users\Dane aplikacji\muzo C:\Documents and Settings\All Users\Dane aplikacji\Nero C:\Documents and Settings\All Users\Dane aplikacji\Seagate C:\Documents and Settings\All Users\Menu Start\Programy\FotoFerst C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator Toolbar C:\Documents and Settings\macio\Dane aplikacji\Ahead C:\Documents and Settings\macio\Dane aplikacji\Autodesk C:\Documents and Settings\macio\Dane aplikacji\Broad Intelligence C:\Documents and Settings\macio\Dane aplikacji\Cool Record Edit Pro C:\Documents and Settings\macio\Dane aplikacji\FileZilla C:\Documents and Settings\macio\Dane aplikacji\FTPRush C:\Documents and Settings\macio\Dane aplikacji\GlobalSCAPE C:\Documents and Settings\macio\Dane aplikacji\MusicBee C:\Documents and Settings\macio\Dane aplikacji\muzo C:\Documents and Settings\macio\Dane aplikacji\Nero C:\Documents and Settings\macio\Dane aplikacji\Pegasys Inc C:\Documents and Settings\macio\Dane aplikacji\UpdateStar Drivers C:\Documents and Settings\macio\Dane aplikacji\XBMC C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Avidemux 2.5.lnk C:\Documents and Settings\macio\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Foxit Reader 5.1.lnk C:\Documents and Settings\macio\Menu Start\Gadu-Gadu.lnk C:\Documents and Settings\macio\Menu Start\Google Desktop.lnk C:\Documents and Settings\macio\Menu Start\Ignite C:\Documents and Settings\macio\Menu Start\Uninstall Programs.lnk C:\Documents and Settings\macio\Menu Start\Programy\Gadu-Gadu C:\Documents and Settings\macio\Menu Start\Programy\Superstar Racing C:\Documents and Settings\macio\Menu Start\Programy\PULPIT\pulpit2\*.lnk C:\Documents and Settings\macio\SendTo\AVS Mobile Uploader.lnk C:\Documents and Settings\macio\SendTo\AVS Video Burner.lnk C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\Autodesk C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\GlobalSCAPE C:\Documents and Settings\macio\Ustawienia lokalne\Dane aplikacji\LocalLow C:\Program Files\GUMA9.tmp C:\Program Files\settings.dat C:\Program Files\ADINA C:\Program Files\Alldj_Video_Converter C:\Program Files\Ashampoo C:\Program Files\AutoCAD 2008 C:\Program Files\Borland C:\Program Files\CGArchive.com C:\Program Files\Common Files\Borland Shared C:\Program Files\Common Files\Nero C:\Program Files\Ekierowca C:\Program Files\Firebird C:\Program Files\FotoLab C:\Program Files\FotoSmart C:\Program Files\Foxit Software C:\Program Files\free-downloads.net C:\Program Files\GetRight C:\Program Files\GPLGS C:\Program Files\Grisoft C:\Program Files\iPod C:\Program Files\MagicDisc C:\Program Files\MTVVideoConverter_Ver1.12.11.7 C:\Program Files\muzo C:\Program Files\Nowe Gadu-Gadu C:\Program Files\OpenOffice.org 3 C:\Program Files\PDFCreator Toolbar C:\Program Files\River C:\Program Files\Seagate C:\Program Files\SkanerOnline C:\Program Files\Spybot - Search & Destroy C:\Program Files\Tlen.pl C:\Program Files\Ufoto C:\Program Files\WinRAR C:\Program Files\ZAR C:\WINDOWS\system32\Drivers\cdrbsdrv.sys C:\WINDOWS\System32\DRIVERS\mcdbus.sys E:\Program Files\MagicDisc Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. 3. Jeśli po w/w działaniach nie będzie żadnych wyraźnych zmian: już tu było wiele obcinane ze startu i nie wiem czy da się więcej bez ruszenia Avast (najbardziej rozbudowany układ serwisów z programów producentów trzecich). W przypadku braku rezultatów na próbę go odinstaluj, by sprawdzić jakie to ma skutki dla startu systemu. .

Zmienne skorygowane, więc dokończ pozostałe puste wpisy, choć nadal mnie niepokoi ich "wygląd". Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll No File BHO-x32: PDF Architect Helper -> {3A2D5EBA-F86D-4BD3-A177-019765996711} -> C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll No File BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File BHO-x32: Windows Live Messenger Companion Helper -> {9FDDE16B-836F-4806-AB1F-1455CBEFF289} -> C:\Program Files (x86)\Windows Live\Companion\companioncore.dll No File BHO-x32: Skype add-on for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File Toolbar: HKLM-x32 - PDF Architect Toolbar - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Program Files (x86)\PDF Architect\PDFIEPlugin.dll No File Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File ShellExecuteHooks-x32: Groove GFS Stub Execution Hook - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll No File [ ] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Jak mówiłam: Problemem może być też Avast per se. Na razie wyłącz zbędne wpisy ze startu i zobaczymy czy będzie jakaś poprawa. W Autoruns odznacz poniższe pozycje (by widzieć niektóre wpisy, należy włączyć pokazywanie wpisów Microsoftu): - W karcie Logon: Adobe ARM, GrooveMonitor, TkBellExe, Toshiba Registration, Toshiba TEMPRO, ToshibaServiceStation, TosNC, TosReelTimeMonitor, WinampAgent, Windows Mobile Device Center - W karcie Services: AdobeARMservice, LMS, SkypeUpdate, SVPWUTIL, TemproMonitoringService, TMachInfo, WinDefend Zresetuj system.

Jak mówię, to fałszywe alarmy i należy pliki wykluczyć z detekcji. Jeśli chodzi o ich "usuwanie": ASUS FancyStart to aplikacja do modyfikowania ekranu startowego ASUS. To jest owszem firmowy zbędnik i jeśli z tego nie korzystasz, możesz się całkowicie tego pozbyć po prostu poprawnie deinstalując cały program (do deinstalacji wymagane obiekty z Installer które dręczy Avast). Poboczne akcje czyszczące pomyślnie wykonane i w tym zakresie kończymy. Zastosuj DelFix, wyczyść folder Przywracania systemu oraz zainstaluj najnowszą wersję Java (o ile potrzebna): KLIK.

Wpisy infekcji niby pomyślnie przetworzone, a one wróciły = infekcja jest nadal czynna. Powtórka: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Lavasoft HKU\S-1-5-21-300751917-3985659210-3560172915-1003\...\Run: [EucubEpivn] => regsvr32.exe "C:\ProgramData\EucubEpivn\EucubEpivn.dat" FF Homepage: hxxp://www.gazeta.pl/0,0.html C:\ProgramData\EucubEpivn C:\Program Files\Java C:\Program Files\Windows Live Toolbar Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run File: C:\Program Files\ThinkPad\Utilities\BTVLOGEX.DLL Folder: C:\Program Files\Common Files\Nokia\MPlatform EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart - opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. - Adobe Flash: czy chodzi cały czas o ten efekt "jakby zaczynał coś wczytywać ale nigdy nie rusza"? - Silverlight: co się pokazuje? Na razie to zostawiam, bo w pierwszej kolejności musi zostać usunięta infekcja, nie wiadomo jaki ona ma wpływ i musi być czyste pole do rozważań.

Wymagane poprawki: 1. Nie ma żadnych oznak wykonania tego działania i Firefox jest potwornie zaśmiecony adware. Do wykonania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 f1f78e38; "C:\Windows\system32\rundll32.exe" "c:\progra~3\winspeed\WinSpeedSvc.dll",service SearchScopes: HKLM-x32 -> DefaultScope value is missing. BHO: dealster -> {8a50050f-c1c8-4dae-9140-8934d58c8872} -> C:\ProgramData\dealster\9mdo1sKJkyDT8i.x64.dll No File BHO-x32: dealster -> {8a50050f-c1c8-4dae-9140-8934d58c8872} -> C:\ProgramData\dealster\9mdo1sKJkyDT8i.dll No File C:\Program Files\Google C:\Program Files\Opera x64 C:\Program Files (x86)\Alcohol Soft C:\Program Files (x86)\dealster C:\Program Files (x86)\DiscouunntuLocator C:\Program Files (x86)\DownloadManager C:\Program Files (x86)\Google C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\Java C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\OpenOffice.org 2.4 C:\Program Files (x86)\PriceDoWNlooadeer C:\Program Files (x86)\shopndrop C:\Program Files (x86)\SmarttCompAre C:\Program Files (x86)\Temp C:\ProgramData\374311380 C:\ProgramData\Ashampoo C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\GoldenCoupon C:\ProgramData\Google C:\ProgramData\Logs C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 2.4 C:\ProgramData\NortonInstaller C:\ProgramData\OpenFM C:\ProgramData\Sun C:\ProgramData\Symantec C:\ProgramData\Temp C:\Users\Karolina\AppData\Local\ashampoo C:\Users\Karolina\AppData\Local\avgchrome C:\Users\Karolina\AppData\Local\cache C:\Users\Karolina\AppData\Local\ChomikBox C:\Users\Karolina\AppData\Local\Chromium C:\Users\Karolina\AppData\Local\CrashDumps C:\Users\Karolina\AppData\Local\Facebook C:\Users\Karolina\AppData\Local\Opera C:\Users\Karolina\AppData\LocalLow\BBrroWse2seaveo C:\Users\Karolina\AppData\LocalLow\Broiwwsey2esauve C:\Users\Karolina\AppData\LocalLow\Browyse2Saave C:\Users\Karolina\AppData\LocalLow\SSEyaarch-NNewTaab C:\Users\Karolina\AppData\LocalLow\Sun C:\Users\Karolina\AppData\LocalLow\Temp C:\Users\Karolina\AppData\Roaming\*.txt C:\Users\Karolina\AppData\Roaming\temp.ini C:\Users\Karolina\AppData\Roaming\Apple Computer C:\Users\Karolina\AppData\Roaming\Ashampoo C:\Users\Karolina\AppData\Roaming\ASUS WebStorage C:\Users\Karolina\AppData\Roaming\Gadu-Gadu 10 C:\Users\Karolina\AppData\Roaming\Google C:\Users\Karolina\AppData\Roaming\OpenFM C:\Users\Karolina\AppData\Roaming\OpenOffice.org2 C:\Users\Karolina\AppData\Roaming\Opera C:\Users\Karolina\AppData\Roaming\TeamViewer C:\Users\Karolina\Desktop\Programy\Search.lnk C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Administrator\Desktop\Żulionerzy NG.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webget /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{f1f78e38} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d C:\Windows\system32\nvinitx.dll /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d C:\Windows\SysWOW64\nvinit.dll /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .