picasso

Tak, na koncie Artur siedzi infekcja, która w opisie udaje "Avirę". Operacje dla tego konta: 1. W Notatniku przygotuj plik o treści: HKU\S-1-5-21-1645522239-1454471165-839522115-1003\...\Winlogon: [shell] C:\Documents and Settings\Artur\Dane aplikacji\Other.res [173056 2010-12-09] (Avira Operations GmbH & Co. KG) S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X] S4 InCDFs; system32\drivers\InCDFs.sys [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-1645522239-1454471165-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope value is missing. DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1645522239-1454471165-839522115-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06ZZ...ZZZ.ZZ..ZZZ:1 AlternateDataStreams: C:\3590F75ABA9E485486C100C1A9D4FF06ZZ..ZZ.ZZZ..Z.ZZ:1 C:\Documents and Settings\Artur\Dane aplikacji\Other.res C:\Documents and Settings\Artur\Dane aplikacji\ArcaBit C:\Documents and Settings\Artur\Dane aplikacji\ArcaMicroScan C:\Documents and Settings\Artur\Dane aplikacji\AutoUpdate C:\Documents and Settings\Artur\Dane aplikacji\Igyz C:\Documents and Settings\Artur\Dane aplikacji\Kamerzysta C:\Documents and Settings\Artur\Dane aplikacji\Okope C:\Documents and Settings\Artur\Dane aplikacji\Opfyol C:\Program Files\Mozilla Firefox C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Onet.pl AutoUpdate" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Z poziomu Trybu normalnego odinstaluj stare dziurawe wersje (jedna z przyczyn infekcji) Adobe Flash Player 10 Plugin, Adobe Flash Player 12, Java™ 6 Update 31 oraz sponsorowany zbędnik McAfee Security Scan Plus. 3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Sprawdź czy da się normalnie odinstalować pozycje Java 7 update 71 i Java 8 Update 25. Następnie, pod kątem felernych pozycji Java 6, zastosuj JavaRa. Poproszę o log FRST bez filtrowania, tzn. odznacz pola Whitelist dla Services i Drivers i będziemy dalej analizować co obciąć ze startu. .

Na teraz, by zakończyć czyszczenie: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizacji, stan obecny (brak SP1, IE11 i reszty łat): Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 9 Temat zostawiam otwarty, tak więc zgłoś się tu z wynikami za jakiś czas co się dzieje.

Czy ten BSOD przy zamykaniu systemu pojawia się nadal, czy był to przypadek podczas przetwarzania Fix? Skopiuj na Pulpit poniższe pliki, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. ==================== One Month Created Files and Folders ======== 2014-12-02 19:55 - 2014-12-02 19:55 - 00498416 _____ () C:\Windows\Minidump\120214-34647-01.dmp 2014-12-02 17:43 - 2014-12-02 17:43 - 00292216 _____ () C:\Windows\Minidump\120214-32697-01.dmp Natomiast zadania czyszczące pomyślnie wykonane i w tym zakresie już kończymy: 1. Usuń pobrane narzędzia z G:\Naprawa kompa. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj systemowy Internet Explorer 10 do wersji 11, nawet jeśli przeglądarki w ogóle nie używasz. .

Usuwanie jest proste, tylko nie będzie prowadzone w ciemno. Zacznij od zasad działu, bo nie dostarczone obowiązkowe materiały diagnostyczne: KLIK. Wymagane są logi z określonych programów.

Logi są konieczne, na oko nic nie da się zdziałać, miliony możliwości konfliguracyjnych. Wejdź w Tryb awaryjny i ponów próbę z wytwarzaniem raportów.

Te analizery są mało pomocne i jeszcze można sobie nimi zaszkodzić. A HijackThis to martwy program, nie skanuje nawet połowy tego co obecnie jest wymagane. Siedzi, siedzi. System jest zgwałcony przez sterowniki adware grupy Sambreel - ładuje się aż 19 szkodliwych sterowników. I zapewne to te właśnie babole tworzą konflikt ze sterownikami oprogramowania zabezpieczającego. Prócz tego są i inne obiekty adware oraz przeterminowane dziurawe aplikacje i definitywnie jest tu jeszcze co czyścić. Do wdrożenia następujące akcje: 1. Deinstalacje: - Za pomocą Dodaj/Usuń odinstaluj: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Reader 8 - Polish, Adobe Shockwave Player 11.5, Java 2 Runtime Environment, SE v1.4.0_03. W przypadku problemów z deinstalacją Java zastosuj JavaRA (program nadal można pobrać): KLIK. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > po kolei zaznacz na liście dwa ukryte odpadkowe wpisy AVG 2015 oraz Google Toolbar for Internet Explorer > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {2f1ed632-8cc1-4969-916a-211c6b0412c1}t; C:\WINDOWS\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}t.sys [55832 2014-10-13] (StdLib) R1 {397e3208-0393-47ca-9748-370b27e14021}t; C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys [55832 2014-10-18] (StdLib) R1 {4059f7a9-d023-4137-a1c8-01f0f6fe6110}t; C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys [55832 2014-10-19] (StdLib) R1 {4b6b588f-fe6d-43d5-96e6-6583434569cd}t; C:\WINDOWS\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}t.sys [55832 2014-10-15] (StdLib) R1 {55825785-0831-456c-8958-bd781398505d}t; C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys [55872 2014-11-26] (StdLib) R1 {5eeb83d0-96ea-4249-942c-beead6847053}t; C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys [55064 2014-09-12] (StdLib) R1 {651e31c1-db10-434b-a173-a9b0e6a15ce0}t; C:\WINDOWS\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}t.sys [55832 2014-10-20] (StdLib) R1 {71d5e150-c72b-4e5b-a773-e49420251642}t; C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys [55832 2014-10-22] (StdLib) R1 {807699ff-a8ae-4ba9-8010-fe7f44646ff9}t; C:\WINDOWS\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}t.sys [55832 2014-10-17] (StdLib) R1 {98a55059-ac5d-40d9-81ae-6bff294c9b89}t; C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys [55832 2014-10-19] (StdLib) R1 {b52a596e-357b-4007-9a88-5592a17b1be9}t; C:\WINDOWS\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}t.sys [55832 2014-10-12] (StdLib) R1 {bf167862-9559-4b38-94c6-2e5edae3632c}t; C:\WINDOWS\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}t.sys [55832 2014-10-11] (StdLib) R1 {c9fb27aa-f512-464b-babd-d42f0443465f}t; C:\WINDOWS\System32\drivers\{c9fb27aa-f512-464b-babd-d42f0443465f}t.sys [55832 2014-10-14] (StdLib) R1 {e168bb47-74a7-440b-bf7d-d17153007d6b}t; C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys [55832 2014-10-11] (StdLib) R1 {efa349b9-003c-4506-9e55-957c1cff853c}t; C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys [55832 2014-10-23] (StdLib) R1 {f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t; C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys [55832 2014-10-15] (StdLib) R1 {fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t; C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys [55832 2014-10-11] (StdLib) R1 {fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t; C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys [55832 2014-10-17] (StdLib) R1 {fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t; C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys [55832 2014-10-13] (StdLib) S4 MaintainerSvc7.71.837357; C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf\maintainer.exe [123680 2014-12-02] () S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [X] Winlogon\Notify\WgaLogon: WgaLogon.dll [X] HKLM\...\Run: [WOOTASKBARICON] => C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\WACICI~1\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE HKU\S-1-5-21-1004336348-1604221776-682003330-1003\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x95000000 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1004336348-1604221776-682003330-1003\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [dopemniaeocfenlpnoannaefnhfcjcgi] - C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\searchswitch.crx [2014-03-25] CHR HKLM\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-03-25] HKU\S-1-5-21-1004336348-1604221776-682003330-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms} HKU\S-1-5-21-1004336348-1604221776-682003330-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://rts.dsrlte.com?affID=na http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki URLSearchHook: [s-1-5-21-1004336348-1604221776-682003330-1003] ATTENTION ==> Default URLSearchHook is missing. HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1387211201&from=cor&uid=WDCXWD1600JB-00REA0_WD-WMANM733601536015 SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.bing.com/search?FORM=UP97DF&PC=UP97&q={searchTerms}&src=IE-SearchBox SearchScopes: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> {BAE38FD2-12CB-43E1-9AF9-51848C943CA4} URL = http://www.mp3zwrzuta.pl/searchp,,{searchTerms},,1.html Toolbar: HKU\S-1-5-21-1004336348-1604221776-682003330-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab AV: mks_vir 2k7 (Disabled - Up to date) {163C25B5-5987-428D-9426-9C29A96444AB} FW: Firewall mks_vir 2k7 (Disabled) {69825521-8CA8-4D3F-9F7B-50B5BBE2389F} C:\$AVG C:\Documents and Settings\All Users\Dane aplikacji\66d59f5c-9429-4c86-9f63-c339daeaabaf C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\AVG2015 C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\IePluginService C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\WPM C:\Documents and Settings\All Users\Menu Start\Programy\AVG C:\Documents and Settings\właściciel\sqlite3.dll C:\Documents and Settings\właściciel\Dane aplikacji\.minecraft C:\Documents and Settings\właściciel\Dane aplikacji\.minecraftzyczu C:\Documents and Settings\właściciel\Dane aplikacji\.zyczujdk7 C:\Documents and Settings\właściciel\Dane aplikacji\337Games C:\Documents and Settings\właściciel\Dane aplikacji\aartemis C:\Documents and Settings\właściciel\Dane aplikacji\AVG2015 C:\Documents and Settings\właściciel\Dane aplikacji\Gadu-Gadu C:\Documents and Settings\właściciel\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\właściciel\Dane aplikacji\OpenFM C:\Documents and Settings\właściciel\Dane aplikacji\Pay-By-Ads C:\Documents and Settings\właściciel\Dane aplikacji\RHEng C:\Documents and Settings\właściciel\Dane aplikacji\rmi C:\Documents and Settings\właściciel\Dane aplikacji\SupTab C:\Documents and Settings\właściciel\Dane aplikacji\TuneUp Software C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Avg2015 C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Program Files\Common Files\Symantec Shared C:\Program Files\mks_vir_2007 C:\Program Files\Norton Security Scan C:\Program Files\SupTab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\{2f1ed632-8cc1-4969-916a-211c6b0412c1}t.sys C:\WINDOWS\System32\drivers\{397e3208-0393-47ca-9748-370b27e14021}t.sys C:\WINDOWS\System32\drivers\{4059f7a9-d023-4137-a1c8-01f0f6fe6110}t.sys C:\WINDOWS\System32\drivers\{4b6b588f-fe6d-43d5-96e6-6583434569cd}t.sys C:\WINDOWS\System32\drivers\{55825785-0831-456c-8958-bd781398505d}t.sys C:\WINDOWS\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}t.sys C:\WINDOWS\System32\drivers\{651e31c1-db10-434b-a173-a9b0e6a15ce0}t.sys C:\WINDOWS\System32\drivers\{71d5e150-c72b-4e5b-a773-e49420251642}t.sys C:\WINDOWS\System32\drivers\{807699ff-a8ae-4ba9-8010-fe7f44646ff9}t.sys C:\WINDOWS\System32\drivers\{98a55059-ac5d-40d9-81ae-6bff294c9b89}t.sys C:\WINDOWS\System32\drivers\{b52a596e-357b-4007-9a88-5592a17b1be9}t.sys C:\WINDOWS\System32\drivers\{bf167862-9559-4b38-94c6-2e5edae3632c}t.sys C:\WINDOWS\System32\drivers\{c9fb27aa-f512-464b-babd-d42f0443465f}t.sys C:\WINDOWS\System32\drivers\{e168bb47-74a7-440b-bf7d-d17153007d6b}t.sys C:\WINDOWS\System32\drivers\{efa349b9-003c-4506-9e55-957c1cff853c}t.sys C:\WINDOWS\System32\drivers\{f06ee1ad-d0c2-4bf7-ada2-fa0fb563c169}t.sys C:\WINDOWS\System32\drivers\{fa50efa5-2c2a-4d8c-b58d-b9548ceccd2b}t.sys C:\WINDOWS\System32\drivers\{fc8e6a5c-9413-4b64-b2fd-0aad0e9e50eb}t.sys C:\WINDOWS\System32\drivers\{fec0fd95-7a4f-4f0e-93f4-63bcf3ad1706}t.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_UI" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{71A938EF-9C3E-43B5-B7D9-809AAD678B33}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AC60A74B-C508-40C5-9778-59C30DA9480B}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Finalizujemy sprawy: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj combo Szukaj + Usuń. Wynikowego raportu już nie muszę sprawdzać. 2. Skasuj ręcznie pobrane skanery z folderu C:\Users\Admin\Downloads\FixItPC. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Na liście zainstalowanych jest archaiczny kaleka Gadu-Gadu 7.7. Polecam zamianę nowoczesnym i bezreklamowym WTW (bardzo dobra obługa protokołu GG8 do GG11, czego brak w oryginalnym GG7): KLIK.

Fix wykonany, więc teraz oczekuję na wyniki działań czy problem zgłoszeń Avast powróci. Import zakładek nie wydaje się groźny, choć nie wiem jakie adresy są tam. Adblocka oczywiście można zainstalować. Posiadałaś Adblock (identyfikator gighmmpiobklfepjocnamgkkbiglidom), natomiast ja proponuję tym razem wykorzystać inną wersję, tzn. Adblock Plus (identyfikator cfhdojbkjhnklbpkdaibdccddilifddb). .

Fixy wykonane, będą jeszcze poprawki, ale na razie odniosę się do tych aspektów: Wg listy zainstalowanych jest nowsza Java, z której może korzystać narzędzie: ==================== Installed Programs ====================== Java 8 Update 25 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218025F0}) (Version: 8.0.250 - Oracle Corporation) Czyżby to była jakaś kolejna uszkodzona instalacja? Widzisz ten wpis na liście Dodaj/Usuń programy? A skoro podejmowałeś próbę instalacji Java 7, to czy jest i ta pozycja na liście? Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W przypadku, gdy jako "bieżący transfer" będzie stał PIO = odinstaluj ten kanał i zresetuj system. .

1. Fix miał trudność przetwarzając ten skrót: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk => Unable to remove or repair shortcut agument. The shortcut could be damaged. W pasku adresów eksploratora wklej ścieżkę C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Skasuj zlokalizowany tam skrót Internet explorer (bez dodatków) i zastąp go tym: KLIK. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Wykonaj: 1. Odinstaluj starsze wersje Adobe Flash Player 14 ActiveX (wtyczka dla IE) + Adobe Flash Player 15 Plugin (wtyczka dla Firefox/Opera). Używasz Google Chrome, które ma własny wbudowany Flash i nie potrzebuje tych instalacji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1426686453-4213014111-1618088604-1001\...\Run: [] => [X] HKU\S-1-5-21-1426686453-4213014111-1618088604-1001\...\Run: [FapqAywi] => regsvr32.exe "C:\ProgramData\FapqAywi\FapqAywi.dat" BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> G:\Programy\Java\bin\ssv.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> G:\Programy\Java\bin\jp2ssv.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin HKU\S-1-5-21-1426686453-4213014111-1618088604-1001: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll No File S2 TBPanel; No ImagePath S3 ATICDSDr; \??\C:\Users\Siwy\AppData\Local\Temp\ATICDSDr.sys [X] testsigning: ==> Check for possible unsigned rootkit driver C:\ProgramData\FapqAywi CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, błąd RegSvr32 nie powinien się już pokazać. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Co rozumiesz przez "dane przeglądarki" = czy opcję "Usuń także dane przeglądarki" w dialogu deinstalacji, czy folder na dysku? Na tamtym forum wspominasz: O którym folderze była mowa, C:\Program Files (x86)\Google\Chrome czy C:\Users\PC\AppData\Local\Google\Chrome? Nic nie widzę w preferencjach, ale skoro problem występuje tylko w przeglądarce Google Chrome i jest czynna funkcja synchronizacji, proponuję jeszcze raz przeładować wszystko wg następujących kroków: 1. Wyłącz całkowicie synchronizację Google. Podczas gdy synchronizacja będzie wyłączona do wdrożenia punkty 2 do 4: 2. Odinstaluj Google Chrome (obecnie masz wersję 38.0.2125.122, już jest nowsza 39.0.2171.71) oraz pozostałe programy Google (Google+ Auto Backup, Picasa 3), gdyż będzie konkretne usuwanie całościowych katalogów Google. Przy okazji odinstaluj też starsze wersje Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Java 7 Update 60. Po deinstalacji programów Google uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy pozostał ukryty wpis Google Update Helper > jeśli tak, zaznacz go do deinstalacji > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKU\S-1-5-21-1758756441-3301446084-1740205803-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=170 DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455} Task: {1C4419F4-FF67-4420-BB7E-790B45E0A3A9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-11-18] (Google Inc.) Task: {FD9F6D65-7057-41A8-8636-7DAD4F88C544} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2014-11-18] (Google Inc.) Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe C:\Program Files\Google C:\Program Files (x86)\Google C:\Users\Administrator\AppData\Local\Google C:\Users\PC\AppData\Local\Google C:\Users\PC\AppData\Roaming\appdataFr2.bin C:\Users\PC\AppData\Roaming\Opera Software C:\Users\PC\Downloads\ChromeSetup*.exe C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP C:\Windows\SysWOW64\GroupPolicy\GPT.INI Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go. 4. Zainstaluj najnowszą wersję Google Chrome: KLIK. Nie włączaj synchronizacji, dopóki z serwera Google nie zostaną wyczyszczone dane. .

Zadania wykonane. Skasuj plik C:\Delfix.txt z dysku. To wszystko.

Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: Internet Speed Checker, McAfee Security Scan Plus, MyFreeCodec, Remote Desktop Access (VuuPC), webssearches uninstall, WindowsMangerProtect20.0.0.1277. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKU\S-1-5-21-3038848894-515659263-2552522708-1000\...\MountPoints2: {6a017db0-253e-11e4-a8d1-001180d6d3e3} - explorer.exe http://www.drei.at/inside3 HKU\S-1-5-21-3038848894-515659263-2552522708-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKU\S-1-5-21-3038848894-515659263-2552522708-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} SearchScopes: HKU\S-1-5-21-3038848894-515659263-2552522708-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} SearchScopes: HKU\S-1-5-21-3038848894-515659263-2552522708-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985&q={searchTerms} BHO: Internet Speed Checker -> {11111111-1111-1111-1111-110611171152} -> C:\Program Files\Internet Speed Checker\Internet Speed Checker-bho.dll (Speedchecker) FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml FF HKLM\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\eu0bkx8n.default\extensions\faststartff@gmail.com FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com/?type=sc&ts=1417452122&from=cvs&uid=WDCXWD10EFRX-68PJCN0_WD-WCC4J200398503985 FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-01] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-12-01] (globalUpdate) [File not signed] R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [715656 2014-12-01] (Cherished Technololgy LIMITED) R2 servervo; C:\Users\Admin\AppData\Roaming\VOPackage\VOsrv.exe [135680 2014-12-01] () [File not signed] R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [484352 2014-12-01] (Fuyu LIMITED) [File not signed] Task: {407B1A72-B5AA-42D8-AFBF-244ABCEDC839} - System32\Tasks\41be1e9f-3e75-475b-8e2b-470d7b4a04c0 => C:\Program Files\Internet Speed Checker\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.exe [2014-12-01] (Speedchecker) Task: {5C611655-5F58-4EB6-B78E-8E9BB02F7862} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe [2014-12-01] (Speedchecker) Task: {6F1C9165-6A8E-41AD-8FC8-A8EB7EAD4A40} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5_user => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe [2014-12-01] (Speedchecker) Task: {7EBCF565-DC2A-46BD-9FD6-035FC622107A} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-12-01] (globalUpdate) Task: {8BFDBFAB-7CBD-48DC-BD9D-AC8BB4182AE3} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-2 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.exe [2014-12-01] (Speedchecker) Task: {B734B160-DD8B-410B-A0FF-053D4A9FEB78} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-12-01] (globalUpdate) Task: {BC45FC48-E806-4AC5-AD52-1BC3B07CBE32} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-4 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.exe [2014-12-01] (Speedchecker) Task: {C7F4C2BC-00C7-4952-A8C5-0C8E5745DB1E} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-1 => C:\Program Files\Internet Speed Checker\Internet Speed Checker-codedownloader.exe [2014-12-01] (Speedchecker) Task: {D4512796-E56D-4E8C-9024-9353F10E05B0} - System32\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-11 => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.exe [2014-12-01] (Speedchecker) Task: {F6260223-D6B6-4D41-BB6C-15ABB34ABC49} - System32\Tasks\a6aaeeac-87bc-4503-ad5c-cc38703deace => C:\Program Files\Internet Speed Checker\a6aaeeac-87bc-4503-ad5c-cc38703deace.exe [2014-12-01] () Task: C:\Windows\Tasks\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.job => C:\Program Files\Internet Speed Checker\41be1e9f-3e75-475b-8e2b-470d7b4a04c0.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-1.job => C:\Program Files\Internet Speed Checker\Internet Speed Checker-codedownloader.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-11.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-2.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-4.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe Task: C:\Windows\Tasks\a51b6196-33f8-4059-8aee-3bccfbb527c6-5_user.job => C:\Program Files\Internet Speed Checker\a51b6196-33f8-4059-8aee-3bccfbb527c6-5.exe Task: C:\Windows\Tasks\a6aaeeac-87bc-4503-ad5c-cc38703deace.job => C:\Program Files\Internet Speed Checker\a6aaeeac-87bc-4503-ad5c-cc38703deace.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe C:\Program Files\globalUpdate C:\Program Files\Internet Speed Checker C:\Program Files\MyFree Codec C:\Program Files\SupTab C:\ProgramData\IePluginServices C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\Users\Admin\AppData\Local\globalUpdate C:\Users\Admin\AppData\Roaming\dlg C:\Users\Admin\AppData\Roaming\webssearches C:\Users\Admin\AppData\Roaming\VOPackage C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\Admin\Desktop\Continue Live Installation.lnk C:\Users\Admin\Downloads\Samsung_GSM(2G)_GT-C3750_Aktualizacja_sterownika_10-2014.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus + DownloadHelper trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Czy na pewno wkleiłeś moją komendę a nie wpisywałeś ręcznie? A jeśli wpisywałeś ręcznie, to czy na pewno tu jest: C:\Users\DOM\Desktop\1234aa.exe.exe/uninstall A nie tu: C:\Users\DOM\Desktop\1234aa.exe.exe/uninstall ?

Kończymy: 1. Uruchom AwCleaner ponownie, tym razem zastosuj kombinację Szukaj + Usuń. Log nie jest mi potrzebny. 2. Odinstaluj w poprawny sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\DOM\Desktop\1234aa.exe.exe /uninstall 3. Usuń ręcznie pobrane narzędzia z C:\Users\DOM\Desktop\scnay. Następnie zastosuj DelFix.

W raportach nie widać oznak infekcji, ale to nic nie oznacza. W preferencjach Google coś może być, skany są jednak ograniczone. Przypuszczalne przyczyny dla których nagminnie powraca problem adware w Google Chrome, mimo namolnych reinstalacji przeglądarki: 1. Reinstalowanie Google Chrome z pominięciem opcji Usuń także dane przeglądarki (usuwa profil). Widzę, że na tamtym forum "usuwali" adware downloaditkeep z Google Chrome na pół gwizdka, przetwarzali tylko katalog adware z dysku, to nie czyści preferencji i nie jest poprawną metodą deinstalacji adware (zawsze próbuje się usuwać adware w pierwszej kolejności via opcje). Jeśli więc Google było reinstalowane bez usuwania profilu, śmietnisko w preferencjach mogło pozostać. Poproszę o: - Zrób zrzut ekranu z tego miejsca: Ustawienia > karta Rozszerzenia > włącz Tryb programisty i rozwiń okna tak, by było widać wszystkie pozycje. - Skopiuj poniżej wyliczone pliki na Pulpit, spakuj oba do ZIP, shostuj gdzieś i podaj link do paczki. C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\PC\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences 2. Czynna synchronizacja Google z serwerem: KLIK. Jeśli na serwerze zostały zapisane złe preferencje, w kółko będą odtwarzane z serwera Google, a przeinstalowanie przeglądarki lokalnie nie zmieni stanu rzeczy. Tak więc, czy masz włączoną tę opcję? .

Zadany Fix powtórzony więcej niż raz (co jest bez sensu - nie zostanie przetworzone ponownie to samo), to log z trzeciego podejścia (powinna być to runda numer 2): Ran by DOM at 2014-12-02 14:04:28 Run:3 Co się działo podczas próby właściwej, że uruchamiałeś Fix ponownie? Poza tym zawirowaniem wszystko zrobione. Teraz uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Finiszujemy: 1. Uruchom AdwCleaner ponownie, tym razem zastosuj sekwencję Szukaj + Usuń. Log nie jest mi potrzebny. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowszy Adobe Flash dla Firefox: KLIK. To tyle.

Operacje przetworzone jak należy, ale pojawiły się nagle dodatkowe elementy (adware Hold Page uwidoczniło się w Google Chrome). Poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO-x32: No Name -> {6c14185e-4de6-4a79-985b-19f23fd1e638} -> No File BHO-x32: No Name -> {B15BBE59-42F5-4206-B3F0-BE98F5DC4B93} -> No File S2 Update Hold Page; "C:\Program Files (x86)\Hold Page\updateHoldPage.exe" [X] C:\Program Files (x86)\Temp C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\SoftSafe C:\ProgramData\Temp C:\ProgramData\{*}.log C:\Users\DOM\AppData\Local\Freecorder 7 Audio C:\Users\DOM\AppData\Local\Freecorder 7 Converter C:\Users\DOM\AppData\Local\Freecorder 7 Video C:\Users\DOM\AppData\LocalLow\Adblock Pro C:\Users\DOM\AppData\LocalLow\Conduit C:\Users\DOM\AppData\Roaming\Freecorder 7 Audio C:\Users\DOM\AppData\Roaming\Freecorder 7 Converter C:\Users\DOM\AppData\Roaming\Freecorder 7 Video C:\windows\System32\Tasks\Symantec EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Hold Page Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenie Avast zostanie wyłączone (aktywuj ponownie w opcjach). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Akcje wykonane zgodnie z planem i powinieneś notować znaczną poprawę w działaniu systemu. Wadliwy wpis Lollipop usunę już ręcznie. Kolejna porcja czynności poprawkowych: 1. Otwórz Notatnik i wklej: C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Temp C:\ProgramData\BitGuard C:\ProgramData\Browser Manager C:\ProgramData\BrowserProtect C:\ProgramData\Wincert C:\Users\LOSSM Gorzów Wlkp\AppData\Local\CrashDumps C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Lollipop C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Mobogenie C:\Users\LOSSM Gorzów Wlkp\AppData\Local\Pay-By-Ads C:\Users\LOSSM Gorzów Wlkp\AppData\LocalLow\DataMngr C:\Users\LOSSM Gorzów Wlkp\AppData\Roaming\Movies Toolbar RemoveDirectory: C:\Users\LOSSM Gorzów Wlkp\Desktop\Stare dane programu Firefox Reg: reg delete HKU\S-1-5-21-357607493-2966654472-2249740010-1004\Software\Microsoft\Windows\CurrentVersion\Uninstall\lollipop_01131035 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Sterowniki zniknęły, a problem główny jest już rozwiązany, więc kończymy. Zastosuj DelFix, jeśli coś nie zostanie usunięte to już ręcznie dokończ.

Poproszę o pełną kopię rejestru (gałąź SYSTEM) do wglądu. Spakuj do ZIP plik C:\FRST\Hives\SYSTEM, shostuj gdzieś i podaj link.

Tytuł dostosowuję do problemu - proszę trzymaj się zasad, tytuł "Proszę o sprawdzenie logów" to nie jest właściwy tytuł, logi to tylko metoda poboru informacji. Temat przenoszę do działu Windows. Brak oznak infekcji. Z raportów nic nie wynika. Sugestie: 1. Sprawdź jaki jest bieżący transfer dysku: KLIK. 2. Wyłącz wybrane wpisy ze startu. W Autoruns przeprowadź poniżej podane akcje i zresetuj system. - W karcie Logon odfajkuj Adobe ARM, NvBackend. - W karcie Services odfajkuj AdobeARMservice, NvNetworkService, NvStreamSvc, Stereo Service, SkypeUpdate, natomiast usługę AppMgmt (artefakt dodany przez ComboFix na edycji Home nie obsługującej tej usługi) usuń całkowicie. 3. Usuń LeaugeSharp - powód poniżej. 4. Błędy Youtube - zacznij od redukcji załadowanych wtyczek w Firefox. Posiadasz Adobe Flash Player 15 Plugin, więc odinstaluj Adobe Shockwave Player 12.1. Dodatkowo, w Firefox we wtyczkach wyłącz pozycje związane z ArtistScope i nVidia: FF Plugin-x32: @artistscope.com/ArtistScope Plugin -> C:\Program Files (x86)\Common Files\ArtistScope\npArtistScope.dll (ArtistScope Pty Ltd) FF Plugin-x32: @artistscope.com/ArtistScope Plugin 5 -> C:\Program Files (x86)\Common Files\ArtistScope\npArtistScope5.dll (ArtistScope Pty Ltd) FF Plugin-x32: @nvidia.com/3DVision -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation) FF Plugin-x32: @nvidia.com/3DVisionStreaming -> C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation) Przy braku rezultatów sprawdź czy pomoże wyłączenie akceleracji sprzętowej: KLIK. Ten cheat produkuje błędy, więc to jest dostateczny powód, by się go pozbyć: Error: (11/22/2014 06:12:34 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: LeagueSharp.Loader.exe, wersja: 1.0.0.6, sygnatura czasowa: 0x5467f00d Nazwa modułu powodującego błąd: SharpSvn.dll, wersja: 1.8991.3289.80, sygnatura czasowa: 0x538f558c Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00340920 Identyfikator procesu powodującego błąd: 0xbb8 Godzina uruchomienia aplikacji powodującej błąd: 0xLeagueSharp.Loader.exe0 Ścieżka aplikacji powodującej błąd: LeagueSharp.Loader.exe1 Ścieżka modułu powodującego błąd: LeagueSharp.Loader.exe2 Identyfikator raportu: LeagueSharp.Loader.exe3 Błędy oznaczają uszkodzenie danych Instalatora Windows - może coś za bardzo "wyczyściłeś" jakimś czyścicielem rejestru. Mówisz, że "source" jest za każdym razem inne, ale czy nazwa pliku MSI też (tu na obrazku: GFWLClient.msi)? "Niektórych rzeczy" = jakich, podaj nazwy programów oraz wszystkie błędy które widzisz. - FRST i OTL mają przecież swoje strony domowe, autoryzowane linki pobierania tylko stamtąd, z żadnych portali (nie mają nawet autoryzacji, by rehostować te programy): KLIK. Przykładowo, dobreprogramy udostępniają jakieś stare wersje FRST sprzed kilku miesięcy. Ostatnio były tu trzy przypadki na forum posługiwania się wersją z sierpnia. - CCleaner ma przejrzystą stronę pobierania, dostępne też edycje Slim (bez sponsora w instalatorze) oraz portable: KLIK - Jeśli ma się odbywać pobieranie z serwisu dobreprogramy, to tylko poprzez Linki bezpośrednie po prawej stronie, co objaśniłam w artykule: KLIK. - Trudno polecić jakiś ogólny portal, teraz prawie wszędzie są problemy (albo downloader, albo gierki z reklamami rozpraszającymi uwagę). Nawet FileHippo się zeszmaciło. Pomijając nawet problem sponsoringu, na portalach jest też inny problem: niemożność nadążenia nad zmianami i nieadekwatne informacje na temat aplikacji. Przykładowo: Windows Defender ma wypisane platformy takie jak Vista czy Windows 7, tylko że na tych systemach to komponent zintegrowany (składnik instalatora Windows) i ów link jest tylko dla starych platform XP/2003 - a potem użytkownicy mi tu wpadają na pomysły, by "przeinstalować" Defendera z dobrychprogramów. Polecam odwiedzać stronę domową programu, a nie portale, nawet jeśli pobieranie będzie trwało dłużej (każdy program odrębnie z własnej strony domowej). .