picasso

Mimo że błąd explorer.exe już nie występuje, na wszelki wypadek podaj ten log z ShellExView.

Nowa niekorzystna zmiana w systemie. W trakcie czynności doinstalowałeś wątpliwy skaner SpyHunter - program z czarnej listy, który stosuje naciski socjotechniczne i reklamodawcze (reklamuje się jako dedykowany usuwacz infekcji "A" lub "B"), by go zainstalować, a po instalacji miły komunikat o opłatach, bo o to tu chodzi. Odinstaluj go. Z poleceń prawie wszystko zrobione, z wyjątkiem jednej komendy. Poproszę o dodatkowe dane - otwórz Notatnik i wklej w nim: Folder: C:\FRST\Quarantine RemoveDirectory: C:\Users\Filip\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Nie wiem ile obecnie wolnego miejsca zostało na dysku C. Mogę się odnieść do wcześniejszych wyników. Statystyki z samego początku: ==================== Drives ================================ Drive c: (ACER) (Fixed) (Total:51.14 GB) (Free:15.67 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:50.89 GB) (Free:50.61 GB) NTFS Drive h: (Expansion Drive) (Fixed) (Total:465.76 GB) (Free:158.6 GB) NTFS ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: C2D6B1CA) Partition 1: (Not Active) - (Size=9.8 GB) - (Type=27) Partition 2: (Active) - (Size=51.1 GB) - (Type=06) Partition 3: (Not Active) - (Size=50.9 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (Size: 465.8 GB) (Disk ID: 0C3057C5) Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS) Po akcjach w temacie zyskane tylko niecałe 2GB: ==================== Drives ================================ Drive c: (ACER) (Fixed) (Total:51.14 GB) (Free:17.39 GB) NTFS ==>[Drive with boot components (obtained from BCD)] Drive d: (DATA) (Fixed) (Total:50.89 GB) (Free:50.61 GB) NTFS Drive h: (Expansion Drive) (Fixed) (Total:465.76 GB) (Free:158.3 GB) NTFS Prawdopodobnie w prosty sposób nie można zmienić układu partycji / ich rozmiaru i są wymagane szczególne działania zaawansowane, gdyż dysk posiada ukrytą partycję ~10GB z Recovery Acer. Prawdopodobnie jest uwzględniona sztywna geometria dysku i po zmianie rozmiarów partycji C+D sposobami standardowymi zostanie uszkodzony dostęp do Recovery. Miejsce na dysku nie jest stałe i nie będzie, w Windows zachodzi wiele procesów, które powoduje fluktuacje miejsca. Wg statystyk podanych wyżej poblemem raczej nie było miejsce na dysku, zwolniło się tylko niecałe 2GB, co ja nie podepnę pod frazę "zrobiło się luźno". Póki co, to efekty końcowe wskazują, że jest tu problem z czymś innym - logi sugerują brak pamięci (wysoki procent pamięci w użyciu). A osobiste dane należy dla własnego bezpieczeństwa starać się trzymać na innej partycji niż systemowa C. PS. Nawiasem mówiąc ostatni z dostarczonych logów FRST i tak był źle zrobiony (nie mogę się doprosić o odznaczenie pola Services) i się poddałam.

Kolejna porcja czynności: 1. Odinstaluj starą dziurawą wersję Adobe Flash Player 10 Plugin (wersja dla Firefox). Dodatkowo, rozważ deinstalację Expat Shield - reputacja: KLIK. 2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PodoWeb oraz szczątek AVG Secure Search. Wydaje mi się też, że należy wyrzucić Custom new tab, Define your own new tab! - rozszerzenia wyglądają na stare, nie istnieją już w sklepie Chrome Web Store, a jest tu nowa wersja Google Chrome 39.0.2171.71 która blokuje rozszerzenia spoza sklepu i prawdopodobnie oba rozszrzenia i tak są nieczynne. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2868711597-264946777-3682003278-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M25BB64EB-7F01-44D8-A0BE-782BE4DE1A8F&SearchSource=55&CUI=&UM=6&UP=SPF57C8540-833E-4D13-8C99-E145079A25A9&SSPV= SearchScopes: HKU\S-1-5-21-2868711597-264946777-3682003278-1000 -> {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=M25BB64EB-7F01-44D8-A0BE-782BE4DE1A8F&SearchSource=58&CUI=&UM=6&UP=SPF57C8540-833E-4D13-8C99-E145079A25A9&q={searchTerms}&SSPV= HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2868711597-264946777-3682003278-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction RestoreQuarantine: C:\FRST\Quarantine\C\Windows\System32\regsvr32.exe.xBAD C:\ProgramData\boost_interprocess Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Nawet nie wiadomo czy format rozwiąże sprawę. Wyraźnie zgłaszasz nie tylko problem z Windows na dysku, ale i z odseparowanym środowiskiem zewnętrznym, co może insynuować problem natury sprzętowej: Mógłbyś ostatecznie podać raport z FRST dla ogólnej orientacji. Raport jest limitowany do określonych aspektów.

O ile dobrze rozumiem, przed restartem ikona jest, po restarcie brak. Sprawdź czy pomoże przeładowanie bufora ikon: Start > w polu szukania wpisz cmd > uruchom i zostaw okno otwarte. Uruchom menedżer zadań i zabij proces explorer.exe. Następnie w otwartym oknie cmd wklep dwie komendy, każdą zatwierdzając ENTER: cd %userprofile%\AppData\Local del /a:h IconCache.db W menedżerze zadań z menu Plik > Nowe zadanie uruchom explorer.exe.

Posiadasz wejście do środowiska WinRE, które daje duże możliwości dostępu do danych: KLIK. W Wierszu polecenia można odpalić dla ułatwienia graficzną wersję jakiegoś menedżera plików portable, który może pracować w środowisku zewnętrznym. Np. dla systemu 32-bit nadaje się FreeCommander (wersja ZIP). Umieszczasz rozpakowany program na pendrive w folderze o nazwie "freecommander", w Wierszu polecenia startujesz program komendą X:\freecommander\freecommander.exe (X = litera pod jaką widać pendrive w środowisku zewnętrznym) i migrujesz dane między napędami.

W systemie zagnieździła się wersja infekcji, któa modyfikuje systemową usługę Winmgmt, stąd start do Windows nie jest możliwy. Przeprowadź następujące działania: 1. W Notatniku wklej: HKU\Filip\...\Policies\Explorer: [] AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll" File Not Found Startup: C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8CB6068E6.lnk S2 Winmgmt; C:\ProgramData\8CB6068E6.zot [350208 2014-11-30] () S2 HiPatchService; D:\Hi-Rez Studios\HiPatchService.exe [X] S2 Update PodoWeb; "C:\Program Files (x86)\PodoWeb\updatePodoWeb.exe" [X] S2 Util PodoWeb; "C:\Program Files (x86)\PodoWeb\bin\utilPodoWeb.exe" [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 SPPD; \??\C:\Windows\system32\drivers\SPPD.sys [X] S1 {00c97d86-accb-4288-9972-6d929c1fe93a}Gw64; system32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys [X] S1 {19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64; system32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64.sys [X] S1 {972b8ad0-9d6f-4688-9227-759df6914df4}Gw64; system32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}Gw64.sys [X] S1 {c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64; system32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}w64.sys [X] GroupPolicy: Group Policy on Chrome detected C:\ProgramData\6E8606BC8.cpp C:\ProgramData\8CB6068E6.zot C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\Users\Filip\AppData\Local\cache Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt na pendrive, skąd jest uruchamiany FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. 2. System zostanie odblokowany. Zaloguj się normalnie do Windows i zrób nowe logi FRST spod Windows (FRST.txt, Addition.txt i Shortcut.xt): KLIK. Dołącz też plik fixlog.txt. .

Co z resztą kroków - log z ShellExView oraz instalacja Adobe Flash? Ale która operacja uczyniła największą różnicę w starcie systemu, deaktywacje w Autoruns czy deinstalacja AVG? Jeśli to pierwsze, AVG wraca na miejsce. Jeśli to drugie, nie, tylko szukasz innego antywirusa, który nie spowalnia startu.

Skoro krok numer jeden pomógł, kroki 2+3 nie są już potrzebne (pierwszy log FRST nadal aktualny do dalszych operacji i nie potrzebuję nowego). Miałeś jednak dostarczyć wyniki skanowania dysku:

Kontynuuj. A w punkcie 2 do skryptu, który podałam, dostaw jeszcze tę linię (to usunie wejście "optymizera" z listy zainstalowanych): Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f

1. Deinstalacja AMD Quick Stream nie usunęła swojego sterownika: S2 APXACC; C:\Windows\system32\DRIVERS\appexDrv.sys [219360 2013-04-18] (AppEx Networks Corporation) Uruchom Autoruns, w karcie Drivers skasuj pozycję APXACC, zaś powiązany plik z dysku ręcznie. 2. Deinstalacja ESET również niekompletna, w tle nadal uruchomiony sterownik ESET filtrujący sieć: R1 EpfwLWF; C:\Windows\system32\DRIVERS\EpfwLWF.sys [38288 2012-03-29] (ESET) Skorzystaj z narzędzia ESET Uninstaller. Narzędzie musi zostać uruchomione z poziomu Trybu awaryjnego. Metody wejścia do tego trybu (wybierz tą z SHIFTem): KLIK. 3. Po operacjach wykonaj nowy log z FRST.

Z raportu FRST nic nie wynika. Spróbuj cofnąć cały rejestr wstecz do ostatniej pomyślnej daty bootowania (czyli dwa dni przed założeniem tematu). FRST cofając rejestr robi kopię bieżącej wersji, więc w razie czego i tak można wszystko odkręcić. Do Notatnika wklej tę komendę: LastRegBack: 2014-11-16 23:18 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść na pendrive J:\ tam skąd uruchamiany jest FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt - przedstaw go. I sprawdź czy jesteś w stanie uruchomić Windows.

Start > w polu szukania wpisz eventvwr.msc > uruchom

Jak mówiłam, Fix stosowany trzy razy, pierwszy nie mój, drugie podejście to był mój Fix i przetworzył te rzeczy, których nie zadano na innym forum, a trzeci raz uruchomienie mojego Fix bez sensu (skrypt jest jednorazowy). Na przyszłość: zakładasz temat w jednym miejscu i oczekujesz na zakończenie zadań, następnie zakładasz temat na drugim forum i podajesz świeże dane po wykonaniu wszystkich operacji, informujesz obie strony o topikach, by się pomocnicy nie nadziali na takie niespodzianki i głowili o co chodzi z "not found" w Fixach. I jeszcze wymagane drobne poprawki. Otwórz Notatnik i wklej w nim: CHR HKU\S-1-5-21-4031139651-2253220957-3423017622-1000\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-4031139651-2253220957-3423017622-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-4031139651-2253220957-3423017622-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f RemoveDirectory: C:\Users\Kamil\Doctor Web RemoveDirectory: C:\Users\Kamil\Downloads\backups DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Brak oznak infekcji. Temat przenoszę, wstępnie do działu Windows, choć nie wykluczony dział sprzętowy. W raportach brak oznak replikacji, czy odpalania innych kopii niż systemowe, a jedyny znak pasujący do opisu, to ten oto rekord z Dziennika zdarzeń: Application errors: ================== Error: (11/29/2014 06:37:30 PM) (Source: Winlogon) (EventID: 4005) (User: ) Description: Proces usługi logowania systemu Windows został nieoczekiwanie zakończony. Jest tu problem z wydajnością, toteż proponuję rozpocząć od wykluczenia oprogramowania zabezpieczającego jako przyczyny, tzn. COMODO Internet Security + Avast. W ramach testu odinstaluj oba (i nie instaluj na razie żadych zamienników), pograj i podaj czy widzisz zmiany.

Jaki błąd? 1. Pierwsza sprawa, w Dzienniku zdarzeń jest dużo błędów pokazujących problem uszkodzeń bazy Windows Update: Z poziomu Trybu awaryjnego zmień nazwę katalogu C:\Windows\SoftwareDistribution na C:\Windows\SoftwareDistribution.old. Następnie wykonaj sprawdzanie dysku pod kątem błędów: Start > w polu szukania wpisz cmd > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 2. Skoro jest różnica między trybami, proponuję wykonać również deinstalację tego programu, który jest bardzo rozbudowany (dużo usług / sterowników), a nie ładuje się w Trybie awaryjnym. Odinstaluj Norton 360, o ile to możliwe z poziomu Trybu awaryjnego. Jeśli awykonalne, to zastosuj narzędzie Norton Removal Tool. Sprawdź czy jesteś w stanie wejść w Tryb normalny. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa pliki. Na podstawie nowych raportów będzie dalsze czyszczenie systemu, bo jest więcej do korekty, ale na razie chodzi tu o odblokowanie startu Windows. I nie edytuj już pierwszego posta. Nowe dane w nowym poście.

Uruchomiłeś linię komend na zbyt niskich uprawnieniach, co widać po lokalizacji pliku C:\Users\Maciek\sfc.txt. Owszem, poprzednio nie podałam elewacji uprawnień, bo siedziałeś w Trybie awaryjnym (konto administratorskie nie idzie przez UAC). Ale już to samo z poziomu Trybu normalnego wymaga: Start > w polu szukania wpisz cmd > z prawoliku Uruchom jako Administrator > w oknie wklej komendę i ENTER Czy Ty w ogóle pobrałeś program z linka? Masz pobrać program, rozpakować, uruchomić i wtedy wdrożyć podane instrukcje. .

Podałeś mi tylko jeden plik, czyli Addition. Mówiłam "log główny + Addition", czyli dwa pliki dostarcz: FRST.txt + Addition.txt.

Otwórz plik Fixlog i popatrz co tam jest! Przeklejając z posta do Notatnika zepsułeś cały format skryptu, przepuściłeś go przez translator przeglądarki! Angielskie słowa zamienione na polskie, ścieżki rozbite (spacje) i nic nie zostało wykonane z punktu 1. Jeśli przeglądarka pyta "czy tłumaczyć stronę", nie wolno tego zrobić tu na polskim forum, gdzie jest podawany skrypt, bo to niszczy skrypt. Przykład, wpis adware: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] ... został "przetłumaczony" jako (takie wejście nie istnieje w systemie): S2 Aktualizacja Techgile; "C: \ Program Files (x86) \ Techgile \ updateTechgile.exe" [X] Do powtórki cały punkt numer 1, a po tym nowy log FRST zrób (bez Addition i Shortcut). .

Był używany ComboFix i na ten temat: KLIK. Po edycji tematu nadal brakuje dwóch raportów: FRST Shortcut oraz GMER. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego: Opisz bliżej problemy "programy dziwnie działają, w przeglądarkach otwierają się reklamy", czyli dokładnie co to znaczy "dziwnie" oraz jakie reklamy (adresy) i w których przeglądarkach (we wszystkich, czy tylko wybranej). W podanych raportach nie widać żadnych oznak infekcji, więc opisz co widzisz i gdzie, gdyż pomoże mi to szukać przyczyny. Wstępnie na razie doczyść system z różnych odpadkowych wpisów po odinstalowanych programach: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 ezGOSvc; C:\Windows\SysWOW64\ezGOSvc.dll [80256 2011-06-11] () NETSVC: ezGOSvc -> C:\Windows\SysWOW64\ezGOSvc.dll () HKU\S-1-5-18\...\Run: [bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender\pmbxag.exe" HKU\S-1-5-18\...\Run: [bitdefender Wallet] => "C:\Program Files\Bitdefender\Bitdefender\pwdmanui.exe" --hidden --nowizard HKU\S-1-5-18\...\Run: [bitdefender Wallet Application Agent] => "C:\Program Files\Bitdefender\Bitdefender\antispam32\bdapppassmgr.exe" ShellIconOverlayIdentifiers: [__SafeBox1] -> {152C96EB-288E-4EDC-B7C6-D21F8250ADF3} => No File ShellIconOverlayIdentifiers: [__SafeBox2] -> {342DAA0B-D796-460D-8566-901E08A1CCAD} => No File ShellIconOverlayIdentifiers: [__SafeBox3] -> {57595DAE-1AE1-4D97-A49E-67CBB53B52DF} => No File ShellIconOverlayIdentifiers: [__SafeBox4] -> {33816773-98AE-4723-ADE0-EBE54C8B5A67} => No File BootExecute: autocheck autochk * URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 - (No Name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No File SearchScopes: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> {6F7460B9-15FD-4C8A-A706-449DBAB5DF1E} URL = http://search.avg.com/route/?d=4de22af3&v=7.4.22.4&i=26&tp=chrome&q={searchTerms}&lng={language}&iy=&ychte=us Toolbar: HKU\S-1-5-21-3549357173-1526242869-3047463242-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation) Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext FF HKLM-x32\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - FF HKLM-x32\...\Firefox\Extensions: [{3252b9ae-c69a-4eaf-9502-dc9c1f6c009e}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DMExtension FF HKLM-x32\...\Firefox\Extensions: [ffpwdman@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\ffpwdman FF HKLM-x32\...\Thunderbird\Extensions: [bdThunderbird@bitdefender.com] - C:\Program Files\Bitdefender\Bitdefender\bdtbext CHR HKLM-x32\...\Chrome\Extension: [ccahoghmggldkcdjiebjkidpfongdfbl] - C:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxcr.crx [] CHR HKLM-x32\...\Chrome\Extension: [naipdapbimiiikbbgjcpbgmfhnlbagpj] - C:\Users\Admin\AppData\Local\Temp\naipdapbimiiikbbgjcpbgmfhnlbagpj.crx [] FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll No File U4 bdselfpr; No ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" AlternateDataStreams: C:\Users\Admin\Downloads\avg_free_x64_all_2015_5577a8546.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\ccsetup419.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\kss12.0.1.340_pl.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\mbam-setup-2.0.3.1025.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\msert.exe:BDU AlternateDataStreams: C:\Users\Admin\Downloads\RSIT.exe:BDU C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\Bitdefender C:\ProgramData\*.bdinstall.bin C:\ProgramData\TEMP C:\Users\Admin\AppData\Local\Avg2015 C:\Users\Admin\AppData\Roaming\AVG C:\Users\Admin\AppData\Roaming\AVG2013 C:\Users\Admin\AppData\Roaming\Bitdefender C:\Users\Admin\AppData\Roaming\FreeVideoConverter C:\Users\Admin\AppData\Roaming\QuickScan C:\Users\Admin\AppData\Roaming\TuneUp Software C:\Users\Admin\Downloads\AdwCleaner_*.exe C:\Users\Admin\Downloads\OTL*.exe C:\Windows\SysWOW64\ezGOSvc.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: sc config "Mobile Broadband. RunOuc" start= disabled CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Są tu szczątki niepoprawnie odinstalowanego BitDefendera. Część z nich usuwana powyższym skryptem. Przejdź w Tryb awaryjny Windows i zastosuj narzędzie BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze). 3. Przejdź z powrotem w Tryb normalny i zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz Shortcut, by powstał brakujący log) + zaległy GMER. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Skoro post już wysłałeś na forum, to jest publiczny i nie jest ukrywany, gdy go edytujesz, tylko że edycję mogę zobaczyć dopiero wtedy, gdy ją zatwierdzisz. Oglądałam temat sprzed edycji. Log z GMER nic nie zmienia, wszystkie komentarze i instrukcje nadal aktualne.

Nadal brakuje raportu z GMER. W międzyczasie został doinstalowany Avast - proszę nie podejmuj działań innych niż zalecone w temacie, wszystko ma uzasadnioną kolejność i nie można nic przestawiać, ani sobie dodawać. Instalacje antywirusów to ostatnia rzecz, która miała tu być wykonana, na szarym końcu po naprawieniu systemu, jego wyczyszczeniu oraz aktualizacji. Na dodatek problemem jest "lagujący komp" - instalacja inwazyjnego antywirusa zaciemnia sprawę i nie wiadomo czy zalecenia pomogły / coś się poprawiło, bo instalacja AV może obniżyć wydajność / oszukać wyniki operacji. Kolejna porcja instrukcji: 1. Nie zostały odinstalowane te dziurawe starocie (niebezpieczne wersje / luki): Adobe Flash Player 10 Plugin, Adobe Flash Player ActiveX, Adobe Reader 9.3.2 - Polish, Java™ 6 Update 31, Java 7 Update 21, OpenOffice.org 3.2. Do wykonania. Najnowsze bezpieczne wersje będą instalowane na samym końcu, nie teraz, gdy system jest czyszczony ze śmieci. Proponuję też od razu wywalić stare Gadu-Gadu 10 (ciężki, zawalone reklamami połowa funkcji i tak już nie działa) - potem do zamiany najnowszym GG (lżejsze, mniej reklam) lub inną alternatywą. 2. Nie ma oznak wykonania poniższego działania. Do wdrożenia. 3. Dopiero po wykonaniu powyższych działań. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: E:\WINDOWS\Tasks\Qzfkkxzk.job => ? NETSVC: wnrstcjq -> E:\WINDOWS\system32\lxkxx.dll ==> No File. S2 wnrstcjq; E:\WINDOWS\system32\lxkxx.dll [X] S3 clwvd; system32\DRIVERS\clwvd.sys [X] HKLM\...\Run: [YouCam Service] => "E:\Program Files\CyberLink\YouCam\YouCamService.exe" /s HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Run: [ares] => "E:\Program Files\Ares\Ares.exe" -h HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Run: [iLivid] => "E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\iLivid\iLivid.exe" -autorun HKU\S-1-5-21-1645522239-602162358-725345543-1004\...\Policies\Explorer: [NoDriveAutoRun] 0xFFFFFFFF IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> e:\program files\movies toolbar\datamngr\x64\apcrtldr.dll ShortcutWithArgument: E:\Documents and Settings\monik\Menu Start\Programy\Internet Explorer.lnk -> E:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694440 ShortcutWithArgument: E:\Documents and Settings\monik\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk -> E:\Program Files\Internet Explorer\IEXPLORE.EXE (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694440 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search.ask.com/sidebar.html?src=ssb&gct=ds&appid=429&systemid=406 HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKU\S-1-5-21-1645522239-602162358-725345543-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD1600BEKT-60F3T1_WD-WXC0A89R6959R6959&ts=1361694455 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 URLSearchHook: HKU\S-1-5-21-1645522239-602162358-725345543-1004 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File HKU\S-1-5-21-1645522239-602162358-725345543-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction BHO: Searchqu Toolbar -> {99079a25-328f-4bd4-be04-00955acaa0a7} -> E:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () BHO: No Name -> {d1dac034-9fd9-4c13-a388-d2e10e57707f} -> No File Toolbar: HKLM - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - E:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll () Toolbar: HKLM - No Name - {d1dac034-9fd9-4c13-a388-d2e10e57707f} - No File Toolbar: HKU\S-1-5-21-1645522239-602162358-725345543-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{66E8DCC7-97D2-4A89-8E08-D0610FF0878C}\InprocServer32 -> E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Conduit\Community Alerts\Alert.dll (ClientConnect Ltd.) CustomCLSID: HKU\S-1-5-21-1645522239-602162358-725345543-1004_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> E:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File CHR HKLM\...\Chrome\Extension: [clbfjfbnelcflpgpklppgplejolacbej] - E:\Program Files\BrowserCompanion\blabbers-ch.crx [2011-12-22] CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-11-29] CHR HKLM\...\Chrome\Extension: [jinihaffgdhejchgkogpfkdmpldnmnji] - E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\CRE\jinihaffgdhejchgkogpfkdmpldnmnji.crx [2012-09-20] CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - E:\Program Files\Skype\Toolbars\Skype for Chromium\skype_chrome_extension.crx [2012-05-30] DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab E:\Documents and Settings\All Users\Dane aplikacji\AlawarWrapper E:\Documents and Settings\All Users\Dane aplikacji\APN E:\Documents and Settings\All Users\Dane aplikacji\Applications E:\Documents and Settings\All Users\Dane aplikacji\ashampoo E:\Documents and Settings\All Users\Dane aplikacji\Ask E:\Documents and Settings\All Users\Dane aplikacji\Babylon E:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess E:\Documents and Settings\All Users\Dane aplikacji\FarmFrenzy-PizzaParty E:\Documents and Settings\All Users\Dane aplikacji\IM E:\Documents and Settings\All Users\Dane aplikacji\IncrediMail E:\Documents and Settings\All Users\Dane aplikacji\install_clap E:\Documents and Settings\All Users\Dane aplikacji\NFS Underground Demo E:\Documents and Settings\All Users\Dane aplikacji\Temp E:\Documents and Settings\All Users\Dane aplikacji\UDL E:\Documents and Settings\All Users\Dane aplikacji\Wincert E:\Documents and Settings\All Users\Menu Start\Programy\AIMP2 E:\Documents and Settings\monik\Dane aplikacji\Ashampoo E:\Documents and Settings\monik\Dane aplikacji\AIMP E:\Documents and Settings\monik\Dane aplikacji\Audacity E:\Documents and Settings\monik\Dane aplikacji\Babylon E:\Documents and Settings\monik\Dane aplikacji\BabylonToolbar E:\Documents and Settings\monik\Dane aplikacji\Desk 365 E:\Documents and Settings\monik\Dane aplikacji\Dropbox E:\Documents and Settings\monik\Dane aplikacji\Mozilla E:\Documents and Settings\monik\Dane aplikacji\OpenCandy E:\Documents and Settings\monik\Dane aplikacji\Opera E:\Documents and Settings\monik\Dane aplikacji\PriceGong E:\Documents and Settings\monik\Dane aplikacji\searchquband E:\Documents and Settings\monik\Dane aplikacji\searchqutoolbar E:\Documents and Settings\monik\Dane aplikacji\Thinstall E:\Documents and Settings\monik\Dane aplikacji\WebcamMax E:\Documents and Settings\monik\Pulpit\*(*)-dp*.exe E:\Documents and Settings\monik\Pulpit\Nieużywane skróty pulpitu E:\Documents and Settings\monik\Menu Start\AQQ.lnk E:\Documents and Settings\monik\Menu Start\Programy\Counter-Strike 1.6 E:\Documents and Settings\monik\Menu Start\Programy\FoxTab Music Converter E:\Documents and Settings\monik\Menu Start\Programy\TurboZIP E:\Documents and Settings\monik\Menu Start\Programy\WapSter E:\Documents and Settings\monik\SendTo\AQQ.lnk E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Conduit E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\CRE E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Torch E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* E:\Program Files\BrowserCompanion E:\Program Files\Desk 365 E:\Program Files\Mozilla Firefox E:\Program Files\Opera E:\Program Files\Searchqu Toolbar E:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension E:\WINDOWS\pss\OpenOffice.org 3.2.lnkStartup E:\WINDOWS\system32\npDeployJava1.dll Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\E:^Documents and Settings^monik^Menu Start^Programy^Autostart^OpenOffice.org 3.2.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DWQueuedReporting" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command" /ve /t REG_SZ /d "\"E:\Program Files\Internet Explorer\iexplore.exe"" /f CMD: netsh firewall reset CMD: dir /a "E:\Program Files" CMD: dir /a "E:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "E:\Documents and Settings\All Users\Menu Start\Programy" CMD: dir /a "E:\Documents and Settings\monik\Dane aplikacji" CMD: dir /a "E:\Documents and Settings\monik\Menu Start\Programy" CMD: dir /a "E:\Documents and Settings\monik\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa logi) + zaległy GMER. Dołącz też plik fixlog.txt. .

W oknie GMER jako "podejrzany" stoi po po prostu moduł dysku GG, to nie jest tu problemem. ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll (GG Network S.A.) Problemem zasadniczym jest adware Techgile wmontowane do Google Chrome. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Update Techgile; "C:\Program Files (x86)\Techgile\updateTechgile.exe" [X] HKLM-x32\...\Run: [ROC_roc_ssl_v12] => "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 HKU\S-1-5-21-2184118066-859118458-687225370-1000\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Robert\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=54e62f3abf8d47d0be1cd1543b71c18b-1308d3c63c742bcf262aec552d1bdcca5b3be4c5 /CMPID=1213b ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156 HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2184118066-859118458-687225370-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> DefaultScope {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {C68463FC-2E20-492D-B129-C09640278F6B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D75B0CE9-6D33-4FF2-9E58-9DFAE6ED907E&apn_sauid=EB10D1E6-E5BE-4D94-BED6-8341C01F8202 SearchScopes: HKU\S-1-5-21-2184118066-859118458-687225370-1000 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll No File BHO-x32: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files (x86)\AVG\AVG2012\avgssie.dll No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2184118066-859118458-687225370-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Robert\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\AVAST Software C:\Users\Robert\AppData\Local\Avg2014 C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Robert\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Robert\AppData\Roaming\Mozilla C:\Users\Robert\AppData\Roaming\TuneUp Software C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\Robert\Desktop\*_Sciagnij.pl.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Robert\AppData\Local CMD: dir /a C:\Users\Robert\AppData\LocalLow CMD: dir /a C:\Users\Robert\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Techgile. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Powiedz mi też co jest w folderze C:\AVAST. .

Temat przenoszę do działu Windows. Nie jest to problem infekcji. Był używany tu na 100% ComboFix (charakterystyczne modyfikacje, niektóre błędnie wykonane, bo ComboFix nie jest wolny od bugów) - na przyszłość: KLIK. W spoilerze tylko drobne korekty na wpisy szczątkowe, co nie ma związku ze zgłoszonymi problemami: Te objawy prędzej pasują do rejestracji wadliwego modułu / rozszerzenia powłoki. Dziennik zdarzeń jest bardzo enigmatyczny i nie wskazuje konkretów (jako moduł przyczynowy stoi biblioteka Windows, co zwykle nie jest przyczyną): Application errors: ================== Error: (11/29/2014 02:10:19 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.exe, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00000000000542e0 Identyfikator procesu powodującego błąd: 0x1470 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.exe0 Ścieżka aplikacji powodującej błąd: Explorer.exe1 Ścieżka modułu powodującego błąd: Explorer.exe2 Identyfikator raportu: Explorer.exe3 Error: (11/29/2014 02:09:26 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d672ee4 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x7d4 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Error: (11/29/2014 01:47:18 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: hpConnectionManager.exe, wersja: 4.0.45.1, sygnatura czasowa: 0x4d5af464 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x1880 Godzina uruchomienia aplikacji powodującej błąd: 0xhpConnectionManager.exe0 Ścieżka aplikacji powodującej błąd: hpConnectionManager.exe1 Ścieżka modułu powodującego błąd: hpConnectionManager.exe2 Identyfikator raportu: hpConnectionManager.exe3 Error: (11/29/2014 01:41:22 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: POWERPNT.EXE, wersja: 14.0.6009.1000, sygnatura czasowa: 0x4cc1a4db Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.18247, sygnatura czasowa: 0x521eaf24 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c4102 Identyfikator procesu powodującego błąd: 0x798 Godzina uruchomienia aplikacji powodującej błąd: 0xPOWERPNT.EXE0 Ścieżka aplikacji powodującej błąd: POWERPNT.EXE1 Ścieżka modułu powodującego błąd: POWERPNT.EXE2 Identyfikator raportu: POWERPNT.EXE3 Dostarcz log z ShellExView x64. CTRL+A, by zaznaczyć wszystkie wpisy w oknie > klik w ikonkę dyskietki, by zapisać log w formacie TXT. Wstępnie: 1. Wyłącz ze startu kilka wpisów, by stwierdzić czy wnosi to coś do sprawy. W Autoruns odfajkuj następujące pozycje: - W karcie Logon: Adobe ARM, Facebook Update, Skype - W karcie Services: AdobeARMservice, Autodesk Content Service, c2cautoupdatesvc, c2cpnrsvc, SkypeUpdate. Zresetuj system. 2. Do wykonania testowa deinstalacja AVG. Niestety oprogramowanie zabezpieczające to rozbudowany układ serwisów / sterowników i przy problemach z dłuższym startem jeden z głównych podejrzanych. A deinstalacja, gdyż proste wyłączanie w opcjach nie znosi aktywności wszystkich elementów startowych. W systemie nie ma pasującej instalacji Adobe Flash. Na liście zainstalowanych są pozycje: ==================== Installed Programs ====================== Adobe Flash Player 15 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 16 PPAPI (HKLM-x32\...\Adobe Flash Player PPAPI) (Version: 16.0.0.233 - Adobe Systems Incorporated) ----> wtyczka dla Opera vs. 2014-11-05 16:26 - 2014-11-25 11:29 - 00000000 ____D () C:\Users\Ola\AppData\Local\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\OpenFM 2014-11-05 16:26 - 2014-11-05 16:26 - 00000000 ____D () C:\Users\Ola\AppData\Roaming\Mozilla OpenFM chodzi na silniku Mozilla i potrzebuje innej wersji Adobe Flash (typu NPAPI): KLIK. Instalator powinien zamontować trzecią pozycję Adobe Flash Player 15 Plugin (wersja 15.0.0.239) - wersja ta jest używana przez Firefox (w systemie go nie ma, ale instalacje wtyczek są robione "na zapas") oraz alternatywnie Operę (w Operze po instalacji wejdź do spisu wtyczek i wyłącz tę wtyczkę NPAPI, bo dwie równolegle czynne wtyczki Adobe Flash mogą prowadzić do konfliktów). .