picasso

Coś nadal podejrzanie dużo "not found" od programów zainstalowanych. Wstępnie więc doczyszczę tylko te pozycje, które zadałam do deinstalacji, i dodatkowo zweryfikuję czy zedytowałeś Zmienne poprawnie. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [slick Savings] => "C:\Users\Dominika\AppData\Roaming\Slick Savings\CouponsHelper.exe" HKU\S-1-5-21-1816805013-2468701961-1920383271-1000\...\Run: [browser Extensions] => "C:\Users\Dominika\AppData\Roaming\Slick Savings\CouponsHelper.exe" BHO: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\Dominika\AppData\Roaming\Slick Savings\Coupons64.dll No File BHO-x32: Browser Extensions -> {34A0D84B-CDDC-4EC4-AFDD-4F1DDE1D14E5} -> C:\Users\Dominika\AppData\Roaming\Slick Savings\Coupons.dll No File BHO-x32: Advanced SystemCare Browser Protection -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> C:\PROGRA~2\IObit\SURFIN~1\BROWER~1\ASCPLU~1.DLL No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File S4 sptd; System32\Drivers\sptd.sys [X] CMD: SET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

1. Jeśli chodzi o zablokowany wpis, do Notatnika wklej: Unlock: HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Jeśli chodzi o błędy sterownika ekranu, przymierzaj się do aktualizacji. Potrzebny model posiadanej karty graficznej, następnie wchodzisz na stronę AMD i szukasz czy dla tego modelu jest nowsza aktualizacja. .

Są widoczne tylko drobne odpadki adware. I zdaje się, że używałeś już AdwCleaner, tylko usunąłeś niestety raporty z dysku, więc nie można zweryfikować co narzędzie robiło. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.us.com/?guid={2CD3B27F-B925-4194-A8C7-ACE1D2832E5E} HKU\S-1-5-21-1163469901-3333247925-1792307710-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.us.com/?guid={2CD3B27F-B925-4194-A8C7-ACE1D2832E5E} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> DefaultScope {276109A3-C45B-490B-A964-1CB55042184A} URL = http://search.us.com/serp?guid={F708E7BC-7579-46BD-B69A-C09D766FBFF5}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> {276109A3-C45B-490B-A964-1CB55042184A} URL = http://search.us.com/serp?guid={F708E7BC-7579-46BD-B69A-C09D766FBFF5}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> {8AC95EAC-EDE7-4C62-A5ED-840DA604DDE7} URL = http://search.us.com/serp?guid={2CD3B27F-B925-4194-A8C7-ACE1D2832E5E}&action=default_search&k={searchTerms} SearchScopes: HKU\S-1-5-21-1163469901-3333247925-1792307710-1000 -> {8FC273F1-4993-442E-969B-343336AB05B3} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10511 Task: {7EB57724-7EB4-4E08-BAB3-6A563BBD63FA} - System32\Tasks\{69C94FE8-C78F-43E1-B8BF-97655ED92F75} => D:\Reinstall\Microsoft Office Standard 2010 PL\Microsoft Excel 2010.exe Task: {833FAC63-9530-4BA0-869B-9F1116FA1CDA} - System32\Tasks\{1CD05D51-42ED-449A-B0A0-0898351DBFD9} => D:\Reinstall\Microsoft Office Standard 2010 PL\Microsoft Excel 2010.exe Task: {EA4F96A6-D67E-409C-9ECC-B8C6363CE228} - System32\Tasks\{5AF67240-1C9A-47BF-BD0C-CC4CDCAEF3E1} => D:\Reinstall\Microsoft Office Standard 2010 PL\Microsoft Excel 2010.exe C:\Users\UpdatusUser\Desktop\SpeedFan.lnk Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

W tle są uruchomione niepożądane programy adware. Ponadto, przeglądarka Google Chrome jest typu development a nie stabilna, co przy obecności adware w systemie wskazuje na konwersję przeglądarki przez adware, a nie celową instalację użytkownika. 1. Rozpocznij od deinstalacji via Panel sterowania: - Adware: Foxy Secure, Internet Speed Checker, PDF Creator Packages, PennyBee, PennyBeeUpdate oraz nieszczęsne Google Chrome. Przy deinstalacji Google Chrome zaznacz Usuń także dane przeglądarki. - Stare wersje: Adobe Reader 9.5.5 Na razie nie instaluj w ogóle nowej wersji Google Chrome, to dopiero po wyczyszczeniu systemu. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi.

Na początek uwaga na temat świeżo pobranych plików: C:\Users\Magda\Downloads\Digital-Image-Recovery(11446)-dp.exe- To nie jest poprawny instalator tylko "Asystent pobierania" dobrychprogramów, którego jedyny cel to instalacja adware: KLIK. C:\Users\Magda\Downloads\yet_another_cleaner_sk_50537.exe - YAC (Yet Another Cleaner) to niepożądany program, z daleka od niego! Czy karta pamięci była formatowana? To może być nadal źródło infekcji. O ile to możliwe, proszę dostarcz raporty z antywirusa gdzie konkretnie został wykryty Brontok. A wg logów ogólnych Brontok tu owszem grasował, zostały po nim jednak tylko szczątkowe wpisy rejestru. Doczyszczanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-378606110-1790107904-230257270-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\Magda\AppData\Local\smss.exe" HKU\S-1-5-21-378606110-1790107904-230257270-1000\...\Policies\system: [DisableCMD] 0 CHR HKU\S-1-5-21-378606110-1790107904-230257270-1000\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll No File BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File R1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X] Task: {0F1A9848-B09F-43F6-8BDB-FC4E19DF818F} - System32\Tasks\{949B7055-97A4-4D81-8C05-410DA9553BF9} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {1A8FACDD-9AC9-4007-AE11-1A181480DB36} - System32\Tasks\{903F5232-358A-4583-9C13-3C94D5792E89} => Chrome.exe http://ui.skype.com/ui/0/6.10.0.104/pl/abandoninstall?page=tsProgressBar Task: {2151F4DA-8178-46C9-9ED6-E68C7796A319} - System32\Tasks\{BD8484D3-9BED-4E30-9216-F545443980D0} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?page=tsProgressBar Task: {39E7ECF7-7446-4439-8385-7ACCCE619CFB} - System32\Tasks\{38B8B6E1-D388-4125-B620-C3470AAD8C40} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar Task: {414CE146-B9AD-459B-9E96-DA0055F2219F} - System32\Tasks\{FD5807A7-AFB4-4C38-8FC9-AC5A5FF92A91} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?page=tsProgressBar Task: {6E2A3144-8B33-4FF3-9037-45FD2DC263C9} - System32\Tasks\{F1B3F2CC-FC93-4B35-9716-561CABF9B64E} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsMain Task: {70B4DF73-74C1-44E0-B768-557D983A2FDF} - System32\Tasks\{2089147D-B5ED-46D7-94BC-1D7996A8448B} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar Task: {D6E38882-1C2A-4115-9662-FC9A068E65CF} - System32\Tasks\{D341B76C-8832-442B-8495-F4FACB269BE2} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {EE045661-885F-4A71-9BB4-B20B95F93E60} - System32\Tasks\{42A80756-A930-4122-B7DF-A1F9DEAED3CC} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar C:\Users\Magda\Downloads\*(*)-dp*.exe C:\Users\Magda\Downloads\yet_another_cleaner_*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

"StartSearch Video plug-in" zniknął z Google Chrome - w nowym logu zupełnie inny układ rozszerzeń, odświeżony jest też skrót przeglądarki - czyżby była kompletna reinstalacja? A ten niewidoczny wpis updatera Ask to możliwe, że to totalny szczątek nie wykazujący już cech "instalacyjnych". Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKU\S-1-5-21-1215798757-1829326793-2782969332-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0} /f RemoveDirectory: C:\Users\Halina\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz log z folderu C:\AdwCleaner.

Post niezgodny z zasadami usuwam. Tamte instrukcje zresztą nie adresowały meritum, które jest prawdopodobnie związane z BSOD, czyli sterowników adware: S2 webinstrT; C:\WINDOWS\system32\Drivers\webinstrT.sys [63696 2014-11-19] (Corsica) R1 wpnfd_1_10_0_2; C:\Windows\System32\drivers\wpnfd_1_10_0_2.sys [58240 2014-11-04] (Word Proser) Ani poprawnych deinstalacji programów adware. Zanim podam nowe instrukcje proszę o aktualizację FRST i zrobienie nowych logów. Są tu podane raporty ze starszej wersji FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 30-11-2014 Najnowsza jest z grudnia.

Problemem nie jest zainfekowany system tylko router. Pierwszy adres jest szkodliwy: KLIK Tcpip\Parameters: [DhcpNameServer] 94.249.192.82 8.8.8.8 Na nic tu więc skanery i narzędzia uruchamiane spod Windows. Używałeś m.in. wątpliwy program SpyHunter (z daleka od niego) oraz ComboFix: KLIK. Przeprowadź następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, ASUS WebStorage, Java 7 Update 6, Java™ 6 Update 34 - W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wtręt sponsoringowy Avast SafePrice. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\rewrewr\catchme.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2010112955-1264138697-2364430108-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2010112955-1264138697-2364430108-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKU\S-1-5-21-2010112955-1264138697-2364430108-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Norton CMD: ipconfig /flushdns CMD: for /d %f in (C:\Users\Bożena\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amsp" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MozillaMaintenance" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Było tu malware wykonujące intercepcję schowka i/lub innych funkcji, toteż zabezpieczenie tego terenu przy udziale aplikacji specjalizowanych w keyloggerach np. KeyScrambler (dostępna wersja darmowa Personal), SpyShelter (dostępna wersja darmowa Free), Zemana Antilogger (dostępna wersja darmowa Free).

Wszystko zrobione. Kończymy: 1. Napraw błąd WMI numer 10 zgłaszany w Dzienniku zdarzeń narzędziem Fix it: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zmieniłabym login do banku.

Pomimo tych błędów w przystawce Harmonogramu przejdź do zadania \Microsoft\Windows\Defrag > z prawokliku na zadanie ScheduledDefrag pobierz Właściwości > skoryguj co jest inaczej niż domyślne ustawienia: - Karta Uprawnienia: Konto SYSTEM + Uruchom z najwyższymi uprawnieniami zaznaczone - Karta Wyzwalacze: Cotygodniowo, o godzinie 01.00, dzień środa - Karta Akcje: Uruchom program i komenda %windir%\system32\defrag.exe -c (przy czym %windir%\system32\defrag.exe wprowadzane w polu program/skrypt, a -c w polu argument) - Karta Warunki: Wszystko zaznaczone z wyjątkiem dwóch ostatnich pozycji "Wznów pracę komputera..." + "Uruchom tylko wtedy...", a dla bezczynności ustawione 3 minuty oraz 7 dni - Karta Ustawienia: wszystko zaznaczone z wyjątkiem "Po błędzie uruchom ponownie co" + "Jeśli zadanie nie jest ponownie zaplanowane". Dla "Jeśli zadanie jest już uruchomione" ustawić z listy "Nie uruchamiaj nowego wystąpienia".

OK. Wszystkie poprzednie operacje wykonane, infekcja pomyślnie usunięta. Skoro nie rozpoznajesz tego dodatku "Firefox Google Search", to musi być coś szkodliwego. Kolejna porcja czynności: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane dodatki Adblock Plus i Eliminator Slajdów trzeba będzie przeinstalować. 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\MATS DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt

Założyłeś temat w dziale infekcji, to na pewno nie jest ten trop, więc jeśli zmierzasz do usterki Software, to temat i tak ma kierunek conajmniej na dział Windows. Zakładając wstępnie trop softwarowy, to przychodzą na myśl filtry sprzętowe. Np. w logu widzę takie oto sterowniki sugerujące obecność filtrów (ostatnia ze świeżych instalacji to Trackball Controller): ==================== Drivers (Whitelisted) ==================== R3 moufiltr; C:\Windows\System32\DRIVERS\moufiltr.sys [7680 2009-03-08] (Windows ® Codename Longhorn DDK provider) S3 Ti64; C:\Windows\System32\DRIVERS\Ti64.sys [31232 2011-03-23] (Windows ® Codename Longhorn DDK provider) S3 Ti64; C:\Windows\SysWOW64\DRIVERS\Ti64.sys [31232 2011-03-23] (Windows ® Codename Longhorn DDK provider) 2014-11-11 00:33 - 2014-11-11 00:33 - 00001113 _____ () C:\Users\Administrator\Desktop\Trackball Controller keyboard.lnk 2014-11-11 00:33 - 2014-11-11 00:33 - 00000000 ____D () C:\Windows\Ti64 2014-11-11 00:33 - 2014-11-11 00:33 - 00000000 ____D () C:\Users\Kordian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Trackball Controller 2014-11-11 00:33 - 2014-11-11 00:33 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Trackball Controller 2014-11-11 00:33 - 2011-03-23 15:10 - 00031232 _____ (Windows ® Codename Longhorn DDK provider) C:\Windows\SysWOW64\Drivers\Ti64.sys 2014-11-11 00:33 - 2011-03-23 15:10 - 00031232 _____ (Windows ® Codename Longhorn DDK provider) C:\Windows\system32\Drivers\Ti64.sys Podaj wyciąg z rejestru dla klas urządzeń USB, woluminów i myszy. Przy okazji i wpisy puste usunę, w tym korekta tego błędu: ==================== Faulty Device Manager Devices ============= Name: AppEx Networks Accelerator LWF Description: AppEx Networks Accelerator LWF Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: APXACC Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. System errors: ============= Error: (12/04/2014 01:57:22 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi AppEx Networks Accelerator LWF z powodu następującego błędu: %%2 Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\System\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{71A27CDD-812A-11D0-BEC7-08002BE2092F} /s Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Task: {8028F7CF-3C14-4BEB-B4A2-548D261AEFF5} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {8B179054-AB36-47CA-8F31-7FF8C3E084C0} - System32\Tasks\MSI_Dragoon Gaming Center => C:\Program Files (x86)\MSI\Dragoon Gaming Center\Dragoon Gaming Center.exe Task: {9CDA0C06-D170-43FB-AE03-8292188166FE} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {F1BA8CC8-8803-4925-B907-4F705CBC752B} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe S2 APXACC; system32\DRIVERS\appexDrv.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 WINIO; \??\C:\Program Files (x86)\MSI\Dragoon Gaming Center\winio64.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2521794128-4105105606-2663523909-1000\...\Run: [AdobeBridge] => [X] BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> No File BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File C:\Windows\System32\Tasks\Norton Anti-Theft Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Tak, dokładnie jest tu ta modyfikacja. Przechodzimy do korekty: 1. Otwórz Notatnik i wklej w nim: S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesDriver32.sys [X] S2 TuneUp.UtilitiesSvc; "C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesService32.exe" [X] S2 UxTuneUp; %SystemRoot%\System32\uxtuneup.dll [X] Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{00711705-12C5-420B-A4E5-6413F2AB3C7B} /f Reg: reg delete HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb}\InprocServer32 /v {00711705-12C5-420B-A4E5-6413F2AB3C7B} /f Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\system32\authui.dll /f Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt - przedstaw go. 2. Czarny ekran powinien zniknąć. Zaloguj się do Windows i wykonaj zaległe punkty:

Jak mówiłam, nie sądzę, by to był problem infekcji. Na razie: ========= SET ========= Path=C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared Ustawienia Zmiennych środowiskowych do korekty, by zidentyfikować które wpisy są naprawdę "not found" a które tylko pozornymi. 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, by łatwo można było to zedytować i zamalowany na pomarańczowo blok: C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared ... przesuń w to miejsce: C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live;C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files (x86)\Windows Live\Shared Nie omiń żadnego średnika oddzielającego ścieżki. Tak poprawiony ciąg wklejasz w oknie edycji Path zastępując poprzedni, zapisujesz zmiany i resetujesz system. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

Fix zrobiony. Te wszystkie wyniki pokazane w MBAM (szczątki adware) do usunięcia za pomocą programu - czy wykonane to zostało? Na zakończenie: 1. Usuń ręcznie folder C:\Documents and Settings\Artur\Pulpit\frst. Następnie zastosuj DelFix. 2. Sugeruję instalację Malwarebytes Anti-Exploit (dostępna darmowa wersja), by ograniczyć podobne zjawiska infekcyjne.

Następnym razem proszę powstrzymaj się przed działaniami na własną rękę. Rozmyślnie podałam tylko AdwCleaner w trybie Szukaj, ostatnio są fałszywe alarmy i w obawie, by nie poleciało za dużo jestem teraz bardzo ostrożna. No cóż, AdwCleaner wywalił nieszkodliwy wpis związany z rejestracją LiveBox: URLSearchHook: HKU\S-1-5-21-1060284298-796845957-1417001333-1005 - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Livebox\SearchURLHook\SearchPageURL.dll () W tym przypadku jednak nic się nie stało, nie jest to ważne. O ile tego nie zrobiłeś, jeszcze DelFix i czyszczenie folderów Przywracania systemu: KLIK. Do instalacji także Internet Explorer 8 - obecnie Microsoft usunął wszystkie instalacje offline, więc uruchom Windows Update i sprawdź czy jest proponowany. .

Skan FRST nic nie widzi, ale wiem już gdzie jest usterka i jak to naprawić - naprawa jest wbrew pozorom prosta i nie rób przypadkiem reinstalacji. Plik authuitu.dll modyfikuje klasę Authentication UI Logon UI zamieniając odnośnik do systemowej biblioteki na własny. W związku z tym poproszę o dodatkowe skany przed próbą korekty wpisów rejestru. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{00711705-12C5-420B-A4E5-6413F2AB3C7B} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{7986d495-ce42-4926-8afc-26dfa299cadb} /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

W tej sytuacji muszę już założyć po prostu, że skany były dokładne i sprawa z Sality jest ukończona. Temat uznaję za rozwiązany i zamykam. Gdyby coś się działo, poproś o otworzenie via PW.

Nie wiem skąd takie wnioski wyciągasz. Było przecież odwrotnie i temat nie został rozpoczęty bez otrzymania raportów FRST. Na dodatek w przyklejonym jest opisane, że OTL jest przestarzały i nawet nie pobiera adekwatnych danych z platformy Windows 8. Oczekuję na logi FRST - one są obowiązkowe.

Jeśli jeszcze nie użyłeś AdwCleaner, to się z nim powstrzymaj. Ostatnio sypie fałszywymi alarmami, więc w pierwszej kolejności tylko log z opcji Szukaj. Dodatkowo (zakładając że AdwCleaner nie został użyty, załączone niektóre wpisy które adresuje, ale nie wszystkie): 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e SearchScopes: HKLM -> {5F363A65-66F1-4D6B-AC3E-7264A799DF99} URL = http://startsear.ch/?aff=1&src=sp&cf=6bce43d2-752a-11e1-9f59-54424929d58e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> DefaultScope {5F363A65-66F1-4D6B-AC3E-7264A799DF99} URL = http://startsear.ch/?aff=1&src=sp&cf=6bce43d2-752a-11e1-9f59-54424929d58e&q={searchTerms} SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> {2C91119B-4C8C-4B55-BA50-C1E91ABF43A3} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=9D4BD560-5673-4E8D-81FD-F822A886235D&apn_sauid=CBBC60BB-5684-43D2-8658-22328D6BB32F SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> {4762D151-CED2-45D7-9FBB-881F13508534} URL = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc= SearchScopes: HKU\S-1-5-21-1215798757-1829326793-2782969332-1000 -> {5F363A65-66F1-4D6B-AC3E-7264A799DF99} URL = http://startsear.ch/?aff=1&src=sp&cf=6bce43d2-752a-11e1-9f59-54424929d58e&q={searchTerms} CHR HomePage: Default -> hxxp://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e CHR StartupUrls: Default -> "hxxp://startsear.ch/?aff=1&cf=6bce43d2-752a-11e1-9f59-54424929d58e" CHR DefaultSearchKeyword: Default -> ask.com CHR DefaultSearchURL: Default -> http://websearch.ask.com/redirect?client=cr&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=9D4BD560-5673-4E8D-81FD-F822A886235D&apn_ptnrs=U3&apn_sauid=CBBC60BB-5684-43D2-8658-22328D6BB32F&apn_dtid=OSJ000YYPL&q={searchTerms} CHR DefaultSuggestURL: Default -> http://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms} FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File C:\Program Files\Mozilla Firefox\extensions C:\Users\Halina\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Halina\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Halina\AppData\Roaming\driveridentifier C:\Users\Halina\AppData\Roaming\TuneUp Software EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Ask Toolbar Updater > Dalej. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj StartSearch Video plug-in Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt .

Gładko poszło. Działania poprawkowe: 1. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Po przyjrzeniu się bliżej, sądzę że błąd spowodowało usunięcie pliku authuitu.dll pozostawionego po TuneUp, czyli deinstalacja TuneUp była jeszcze mniej kompletna niż sugerował to log. Ten plik jest ładowany jako część procesów Winlogon. Oczekuję na log FRST z poziomu środowiska zewnętrznego i będziemy działać dalej.

W GMER są pokazywane różne czynności, interpretacja tego czy jest to szkodliwe leży w gestii analizującego. GMER nie jest programem który pokazuje tylko i wyłącznie złe wpisy. Przechodząc do czyszczenia systemu: 1. Przez Panel sterowania odinstaluj: - Adware: Przyspiesz Komputer, Remote Desktop Access (VuuPC), webssearches uninstall, WindowsMangerProtect20.0.0.1277 - Zbędniki/stare wersje: Adobe Reader X (10.1.0) - Polish, Akamai NetSession Interface, AVG Web TuneUp, Java™ 6 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKU\S-1-5-21-1308830828-1798495019-3460747243-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKU\S-1-5-21-1308830828-1798495019-3460747243-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274&q={searchTerms} SearchScopes: HKU\S-1-5-21-1308830828-1798495019-3460747243-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={8B6E0B60-5379-4105-946E-455943DAAEB7}&mid=8a82eb747f3b47d0a582d16f5e2fd441-85df8d4512f1eaf88b037167303c81c209679137&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-12 18:13:15&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms} FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.10\\npsitesafety.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\hyowgsfq.default\extensions\faststartff@gmail.com CHR HomePage: Default -> www.wp.pl/?src01=dp220140831 CHR DefaultSearchKeyword: Default -> webssearches CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://istart.webssearches.com/?type=sc&ts=1417644035&from=cvs&uid=WDCXWD1600JS-22MHB0_WD-WCANM460727407274 U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-03] (Cherished Technololgy LIMITED) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1308830828-1798495019-3460747243-1000\...\Policies\Explorer: [NoDrives] 8388608 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Przyspiesz Komputer C:\Program Files (x86)\SupTab C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przyspiesz Komputer C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\Users\user\AppData\Local\Akamai C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\user\AppData\Roaming\dlg C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\user\AppData\Roaming\Systweak C:\Users\user\AppData\Roaming\VOPackage C:\Users\user\AppData\Roaming\webssearches C:\Users\user\Documents\PCSpeedUp C:\Windows\grep.exe C:\Windows\MBR.exe C:\Windows\PEV.exe C:\Windows\sed.exe C:\Windows\zip.exe C:\Windows\SysWow64\unrar.dll CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zazacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Na temat używania ComboFix: KLIK. Proszę zacząć od zasad działu, które wyszczególniają jakie logi są tu obowiązkowe: KLIK. Raport z ComboFix już zostaw, by było wiadome co robiło narzędzie.