picasso

Wspominałam już o starej wersji przeglądarki. Nie pamiętam od której dokładnie wersji Chrome występuje ten reset, ale wygląda na to, że Twoja wersja 30.0.1599.101 jest jej pozbawiona. Opuść ten punkt i kontynuuj dalej.

Tak, to już koniec działań. Temat rozwiązany. Zamykam.

Tak jak mówiłam, jest w systemie adware, czynne rozszerzenia w Google Chrome (a wersja przeglądarki stara) oraz inne szczątki. Jednakże są to wiekowe odpadki datowane na rok 2013 (nie doczyszczone po prostu wcześniej), ponadto one są na innym niskim poziomie i nie mogą powodować tych efektów:

  Cytat

- czasami rozłącza się internet, bywały godziny gdzie średnio rozłączało mnie co 2-5min, a nawet 10 sekund, po czym automatycznie połączenie było wznowione lub pomogło dopiero ponowne włączenie karty sieciowej i tak do 30 razy w ciągu dnia. Od kilku dni problem ten niemal nie występuje. Wiem że możliwych przyczyn jest wiele, ale nie o to mi chodzi, wymieniam tylko wszystkie zauważone mankamenty.

- kilka razy zdarzyło się że komputer zwolnił wizualnie tzn. procesor nie jest obciążony a przeciągając jakiekolwiek okno pozostają ślady tego przeciągania, minimalizując program w jego miejscu zamiast tapety z ikonami jest czarne tło lub zanika po części pasek zadań.

Wszystko to mija po chwili.

Powyższe efekty niestety może wytwarzać coś wręcz przeciwnego niż infekcja, tzn. Norton Internet Security - jak już zaznaczałam, jest to bardzo inwazyjna instalacja. Ponadto, w Dzienniku zdarzeń są błędy sugerujące problemy z oprogramowaniem nVidia (usługę zgłaszającą błędy będę wyłączać) oraz sprzętowe:

System errors:

=============

Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: )

Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera.
 

Application errors:

==================

Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcNvVAD initialization failed [6]
 

Error: (11/16/2014 10:33:47 PM) (Source: NvStreamSvc) (EventID: 1) (User: )

Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0]

Ubytek miejsca jest wyjaśniony, za mało miejsca w magazynie kopii cieniowych i system samoczynnie opróżnił starsze punkty Przywracania systemu. Odnotował to Dziennik zdarzeń:

Error: (11/16/2014 10:33:14 PM) (Source: volsnap) (EventID: 25) (User: )

Description: Kopie w tle woluminu C: zostały usunięte, ponieważ nie można było powiększyć magazynu kopii w tle. Rozważ zmniejszenie obciążenia We/Wy w systemie lub wybierz wolumin magazynu kopii w tle, który nie jest kopiowany w tle.

Jeśli chodzi o doczyszczanie śmieci i wpisów pustych oraz inne drobne korekty (włączając deaktywację problematycznej usługi nVidia), przeprowadź następujące działania:

1. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection, Lightning Newtab
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

CloseProcesses:
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
ShortcutWithArgument: C:\Users\E531\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://start.qone8.com/?type=sc&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382611918&from=cor&uid=SamsungXSSDX840XEVOX120GB_S1D5NSAD956347W&q={searchTerms}
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchURL = http://home.microsoft.com/access/autosearch.asp?p=%s
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKLM-x32\...\Run: [fst_pl_127] => [X]
HKU\S-1-5-21-3670591184-648614672-2990897947-1002\...\RunOnce: [] => [X]
S3 mdf16; C:\Users\E531\AppData\Local\Temp\mdf16.sys [20400 2014-01-30] ()
S3 mvd23; C:\Users\E531\AppData\Local\Temp\mvd23.sys [99248 2014-01-30] ()
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X]
U2 wuaserv; No ImagePath
Task: {0CA8A32D-B428-4CF1-A290-9CD8B74DAB06} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {21325EC4-40A1-4AFD-8F0C-34486A6627BF} - System32\Tasks\{C8F5BEA8-3AB5-402D-9109-6D8265E603B9} => C:\Users\E531\Desktop\oko.exe
Task: {5D134D70-348E-4123-9B8A-62E21CC1A44F} - System32\Tasks\{206CDF2C-0BF5-4B29-B5BE-685248D3FA2D} => F:\Microsoft Office\Office12\EXCEL.EXE
Task: {75CCF3DB-843F-4431-94DE-EC75854E139E} - System32\Tasks\{9737F133-28EF-4F61-83A7-D29338A817A8} => C:\Users\E531\Desktop\oko.exe
Task: {9AB6171C-9333-4D0E-A223-3B56123B027D} - System32\Tasks\{E87B8B75-C669-446A-94EF-23277B12A1AC} => F:\Microsoft Office\Office12\excelcnv.exe
Task: {A3A33DA4-8FC5-4EFC-9E23-B2F657D1DA69} - System32\Tasks\{F266EFF3-A646-4D03-ADF5-2BE999CA18D2} => F:\Microsoft Office\Office12\excelcnv.exe
Task: {ACA279F8-079F-41B6-9BA0-C0C9A4FADB59} - System32\Tasks\{97980ECF-2753-47F2-8202-A867E9C05864} => F:\Microsoft Office\Office12\EXCEL.EXE
Task: {C7EA8C0F-9E46-438A-BAC5-99E18AE23267} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {EBEE5AA0-3738-4E43-9B6E-A1E83577C22C} - System32\Tasks\{5AE3A8FC-10DC-497F-A8FE-AEED80B14A44} => F:\Microsoft Office\Office12\EXCEL.EXE
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
CustomCLSID: HKU\S-1-5-21-3670591184-648614672-2990897947-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\E531\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
C:\ProgramData\eSafe
C:\Users\E531\AppData\Local\freeSOFTtoday
C:\Users\E531\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
C:\Users\E531\Downloads\DTLite4491-0356.exe
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\qone8 Browser Protecter" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WsysControl /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\qone8Software /f
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
CMD: sc config NvStreamSvc start= disabled
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

Odpowiadaj już w nowym poście, nie edytuj pierwszego posta.

.

Kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przyracania systemu: KLIK.

Skan MBAM wykrył po prostu instalacje adware (wyglądają na szczątkowe) będące rezultatem działań podonych do tych: KLIK. Zanim przejdziemy do konkretów:

  Cytat

Zgodnie z warunkami założenia nowego tematu dołączyłem inne obowiązkowe logi, za wyjątkiem FRST.

Ściągając ten program z linku zamieszczonego na tym forum Norton od razu go usuwa pod pretekstem - zagrożenie stwarzane przez ten plik jest wysokie.

Fałszywy alarm Nortona. Proszę wyłącz Nortona na czas pobierania programu i dostarcz raporty z FRST. OTL jest jednak zbyt przestarzały (nie posiada też wielu skanów obecnych w FRST) i jego odczyty są traktowane tylko jako uzupełniająca opinia.

  Cytat

Po incydencie z GMER wolałem nie ryzykować, jeżeli naprawdę trzeba to go przywrócę i dołączę raport.

Jakim incydencie? Otóż po wykonaniu raportu po ok. 20min, po raz pierwszy na tym lapku wyskoczył blue screen,

co ciekawe zauważyłem że po nim z dysku zniknęło 5GB, nie wiem co to przepadło.

GMER jest fanaberyjny i może mu się nie podobać określone środowisko, np. działa tu potężna instalacja Norton oparta o inwazyjne sterowniki poziomu kernel. Co do brakujących 5GB: jest dużo mechanizmów w Windows, które powodują, że miejsce na dysku nie jest stałe i może być w określonych okolicznościach redukowane (np. Tempy, cieniowanie woluminu i punkty Przywracania systemu, zrzuty pamięci, etc.), więc jeśli nie posiadasz konkretów skąd ubyło, a nie zgłaszasz tu jawnego braku danych, nie widzę tu nic niepokojącego jeszcze.

.

  Cytat

Z tym, że nie znalazłem żadnego TheHDvid-Codec V10.

W skanie dostosowanym FRST było widoczne rozszerzenie adware w katalogu i preferencjach Opery:

========================= Folder: C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions ========================

2014-09-17 13:07 - 2014-09-17 13:07 - 0000000 ____D () C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkdanligledioimheahflbepecbceang

====== End of Folder: ======


=========  type "C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Preferences" =========

   "extensions" : {
(...)
         },
         "lkdanligledioimheahflbepecbceang" : {
            "creation_flags" : 9,
            "from_webstore" : true,
            "granted_permissions" : {
               "api" : [
                  "tabs",
                  "cookies",
                  "notifications",
                  "contextMenus",
                  "webNavigation",
                  "webRequest",
                  "webRequestBlocking",
                  "unlimitedStorage",
                  "storage",
                  "proxy",
                  "webRequestInternal"
               ],
               "explicit_host" : [ "http://*/*", "https://*/*" ],
               "scriptable_host" : [ "http://*/*", "https://*/*" ]
            },
            "location" : 1,
            "manifest" : {
               "background" : {
                  "page" : "background.html"
               },
               "content_scripts" : [
                  {
                     "all_frames" : true,
                     "js" : [
                        "js/25562e210eba8e102e90ed20511d63f2.js",
                        "js/lib/7571245074dfe2ae402afda4aff96a56.js",
                        "js/lib/07f7c8317f838c3a1cfbe947ca2ea94d.js",
                        "js/lib/10c7dea29007c5939c53d490f24bf39f.js",
                        "js/lib/7f5bbce1ded4b53b44854e198bf22797.js",
                        "js/api/07605f22b4dc9a1ebeb3b4547a430632.js",
                        "js/api/0d47c86b5a157aee3eca998b25de5e09.js",
                        "js/api/pageAction.js",
                        "js/lib/installer.js",
                        "js/lib/app_api.js"
                     ],
                     "matches" : [ "http://*/*", "https://*/*" ],
                     "run_at" : "document_start"
                  }
               ],
               "content_security_policy" : "script-src 'self' 'unsafe-eval'; object-src 'self'",
               "description" : "HDVid Codec - Enjoy the future of internet video with High Definition",
               "icons" : {
                  "128" : "icons/icon128.png",
                  "16" : "icons/icon16.png",
                  "48" : "icons/icon48.png"
               },
               "key" : "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/scrjPMvAHwhhfJGYAE51y7Xm2hYsttwUzCpwQhNR9EeDhq/GAdSY92OkALP/0/J9QIQn2mDfXqLRXUSrC+Qy3RuJNA8qAR1jWazQnMCpaejbAeZaueav7ZDPECblQhQ2ulJZ8fQjV6tW3tfifLZ4nfr19ROuPyKaCSYIv9gNGwIDAQAB",
               "manifest_version" : 2,
               "name" : "TheHDvid-Codec V10",
               "permissions" : [
                  "http://*/*",
                  "https://*/*",
                  "tabs",
                  "cookies",
                  "notifications",
                  "contextMenus",
                  "webNavigation",
                  "webRequest",
                  "webRequestBlocking",
                  "unlimitedStorage",
                  "storage",
                  "proxy"
               ],
               "update_url" : "https://w9u6a2p6.ssl.hwcdn.net/plugin/chrome/update/63315.xml",
               "version" : "1.26.47",
               "web_accessible_resources" : [ "Settings.json" ]
            },
            "path" : "lkdanligledioimheahflbepecbceang\\1.26.47_0",
            "state" : 1
         }
      }
   },

Jeśli tego nie widać w opcjach Rozszerzeń Opery, to albo jest to martwy szczątek, albo zaszły dodatkowe okoliczności i coś usuwałeś. Zakładam oczywiście, że poprawnie sprawdziłeś opcje Opery. Na wszelki wypadek będę resetować preferencje Opery.

I poprawki:

1. Otwórz Notatnik i wklej w nim:

C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\BonanzaDealsLive
C:\Program Files (x86)\FTDownloader.com
C:\Program Files (x86)\Mobogenie
C:\Program Files (x86)\predm
C:\Program Files (x86)\Temp
C:\ProgramData\APN
C:\ProgramData\AVG Security Toolbar
C:\ProgramData\AVG2013
C:\ProgramData\Babylon
C:\ProgramData\BonanzaDealsLive
C:\ProgramData\boost_interprocess
C:\ProgramData\install_clap
C:\ProgramData\Temp
C:\ProgramData\WindowsMangerProtect
C:\Users\Samsung\AppData\Local\avgchrome
C:\Users\Samsung\AppData\Local\BonanzaDealsLive
C:\Users\Samsung\AppData\Local\cache
C:\Users\Samsung\AppData\Local\Cool_Mirage
C:\Users\Samsung\AppData\Local\CrashDumps
C:\Users\Samsung\AppData\Local\CrashRpt
C:\Users\Samsung\AppData\Local\Mobogenie
C:\Users\Samsung\AppData\LocalLow\Delta
C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkdanligledioimheahflbepecbceang
C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Preferences

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz logi z folderu C:\AdwCleaner.

.

Pokaż mi zrzut ekranu z okna włącznie z błędem, by było wiadomo jaki kod błędu jest na komunikacie.

Poprawki będą zalogowanym na koncie Justyna. Otwórz Notatnik i wklej w nim:

CloseProcesses:
SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6CA96120-03AA-4CD4-B5EC-3A3A3BBB3C01}&mid=734426b7a65547d08159d16e55ca7cac-5e9ec83d3ac33e27890d98fe7f860460128f9bd7&lang=pl&ds=xn011&pr=sa&d=2012-09-30 09:32:43&v=17.0.1.12&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6CA96120-03AA-4CD4-B5EC-3A3A3BBB3C01}&mid=734426b7a65547d08159d16e55ca7cac-5e9ec83d3ac33e27890d98fe7f860460128f9bd7&lang=pl&ds=xn011&pr=sa&d=2012-09-30 09:32:43&v=17.0.1.12&pid=avg&sg=0&sap=dsp&q={searchTerms}
HKU\S-1-5-21-2497160206-2615029055-3091190810-1001\...\Policies\system: [WallpaperStyle] 2
S4 sptd; System32\Drivers\sptd.sys [X]
C:\Program Files\JAVA
C:\Program Files (x86)\Ahead
C:\Program Files (x86)\AVG
C:\Program Files (x86)\Media Player Classic
C:\Program Files (x86)\PhotoFiltre 7
C:\ProgramData\{*}.log
C:\ProgramData\AVG10
C:\ProgramData\Avg_Update_0814tb
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\FarmFrenzy-PizzaParty
C:\ProgramData\Gadu-Gadu 10
C:\ProgramData\MFAData
C:\ProgramData\Nero
C:\ProgramData\NortonInstaller
C:\ProgramData\OpenFM
C:\ProgramData\Sun
C:\ProgramData\Symantec
C:\ProgramData\Temp
C:\ProgramData\YTD Video Downloader
C:\Users\Justyna\AppData\Local\Google\Chrome
C:\Users\justyna i darek\AppData\Local\*.txt
C:\Users\justyna i darek\AppData\Local\tmpDSC05363.JPG
C:\Users\justyna i darek\AppData\Local\cache
C:\Users\justyna i darek\AppData\Local\Mozilla
C:\Users\justyna i darek\AppData\Local\Symantec
C:\Users\justyna i darek\AppData\Roaming\*.dll
C:\Users\justyna i darek\AppData\Roaming\*.exe
C:\Users\justyna i darek\AppData\Roaming\DAEMON Tools Lite
C:\Users\justyna i darek\AppData\Roaming\Dati
C:\Users\justyna i darek\AppData\Roaming\Eddu
C:\Users\justyna i darek\AppData\Roaming\Edwebi
C:\Users\justyna i darek\AppData\Roaming\ErrorLogs
C:\Users\justyna i darek\AppData\Roaming\Gadu-Gadu 10
C:\Users\justyna i darek\AppData\Roaming\Goodgame
C:\Users\justyna i darek\AppData\Roaming\install
C:\Users\justyna i darek\AppData\Roaming\InstallDir
C:\Users\justyna i darek\AppData\Roaming\instant
C:\Users\justyna i darek\AppData\Roaming\Java
C:\Users\justyna i darek\AppData\Roaming\justyna i dareklog.dat
C:\Users\justyna i darek\AppData\Roaming\justyna i darekv1.23.0remote
C:\Users\justyna i darek\AppData\Roaming\Nero
C:\Users\justyna i darek\AppData\Roaming\ntsokrn.txt
C:\Users\justyna i darek\AppData\Roaming\OpenFM
C:\Users\justyna i darek\AppData\Roaming\PhotoFiltre 7
C:\Users\justyna i darek\AppData\Roaming\System
C:\Users\justyna i darek\AppData\Roaming\x0liai0k
C:\Users\justyna i darek\AppData\Roaming\Microsoft\kjdfhjiozeuj
CMD: dir /a C:\Users\justyna\AppData\Local
CMD: dir /a C:\Users\justyna\AppData\LocalLow
CMD: dir /a C:\Users\justyna\AppData\Roaming
CMD: dir /a C:\Users\justyna\AppData\Roaming\Microsoft

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

.

To co opisujesz to jest problem strumieni NTFS: KLIK. Może te paczki Synaptics miały omyłkowo spakowane pliki z doczepionymi już strumieniami.

PS. Na przyszłość raporty w postaci oryginalnych plików dołączonych metodą załączników forum a nie spoilerów (możliwe zniekształcenia treści oraz parsowanie linków).

  Cytat

Przed rozpakowaniem plików rar, a także po rozpokawaniu, przed instalacją przeskanowałem pliki za pomocą Malwarebytes Anti-Malware i Microsoft Security Essentials i nie wykryły one zagrożeń. Jednak po próbie instalacji aplikacji w C:\ProgramData pojawiły się ukryte puste foldery. Ich nazwy były długie, zawierały liczby, nazwy były w niebieskim kolorze. Foldery usunąłem.

Brak danych na temat paczki i co ona właściwie zawierała, brak także danych jak dokładnie wyglądały te foldery w C:\ProgramData, bo na razie opis nic szczególnego nie mówi:

- Niebieski kolor oznacza kompresję NTFS.

- W C:\ProgramData różne typy programów (czyli nawet i poprawne) mogą tworzyć foldery zawierające liczby. Istotna jest sekwencja:

  Cytat

Gdy skopiowałem te nazwy do Google, było tam coś o trojanach.

Więc podaj co to były konkretnie za nazwy. I dostarcz raporty z FRST.

  Cytat

Packed, Processing error, Password protected, - chyba wszystkie, ale... log ma 7mb. Wiesz może gdzie znajdę rodzaje zagrożeń, tak abym mógł użyć Ctrl+F?

(...)

Co dalej z tym zrobić? Mam wielki kilku megabajtowy log.

Te typy wyników mnie nie interesują. Istotne są tylko wyniki o oznaczniu "Detected" / "Infected" lub coś brzmiącego podobnie. CTRL+F i szukaj rekordów tak oznaczonych, a jeśli takowych brak, to i brak wykrytych infekcji i log zbędny.

A jeśli zupełnie nie umiesz sobie poradzić z tym, spakuj log do ZIP, na hosting i podaj link do tego.

.

Fix wykonany. Teraz uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log z folderu C:\AdwCleaner.

  Cytat

a co może być z tymi sterownikami że po prostu nie widzi tego połączenie kabloweg

Nie wiem co poprzednio usunąłeś.

- Czy próbowałeś przeinstalować wszystkie urządzenia sieciowe na poziomie Menedżera urządzeń?

- Czy uruchamiałeś diagnostykę wbudowaną do Vista?

- Czy sprawdzałeś możliwości z tego artykułu: KLIK?

Potwierdzam wykonanie DelFix, skasuj z dysku log C:\DelFix.txt.

  Cytat

Co do czytania o zagrożeniach - to w tym przypadku nic nie da. Powiedziałem tylko, żeby w mojej nieobecności nie klikać byle gdzie - ale czy będę wysłuchany? Czy warto zainstalować jeszcze jakieś narzędzia chroniące komputer w przypadku całkowicie nieświadomego (i niechętnego do słuchania ostrzeżeń) użytkownika jak moja żona?

Cytuję z mojego artykułu:

  picasso napisał(a):

Kroki ograniczające nabycie niepożądanych dodatków

 

(...) można posiłkować się dodatkowym programem do automatycznego "odznaczania" pół instalacji adware, lecz program nie zastąpi myślenia użytkownika:

 

Unchecky

.

Główny log z usuwania jest urwany. Nie istotne już, bo jest też podany log z opcji Szukaj pokazujący co było w niewidocznym fragmencie. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim:

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
RemoveDirectory: C:\AdwCleaner
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

GMER zrobiony w niewłaściwym środowisku - czynny sterownik SPTD. Dołączony log MBAM jest pusty - dostarcz pełny plik. W raportach widać opisywany efekt, multum poszkodowanych wpisów infekcji, ale jeden jest nadal czynny. Akcja:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [dndmwdd.exe] => "C:\Users\justyna i darek\AppData\Roaming\dndmwdd.exe"
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [M0JCOTNCMkY3NDQzMDNDRj] => C:\ProgramData\aqlgbtmh.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [RDUwMzMzMzE2QTU5ODNBNT] => C:\ProgramData\bryxirhy.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [84639553] => C:\ProgramData\wnvlsizt.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [MzY1QjcxRTE5NUNGM0VFRk] => C:\ProgramData\ichafcgt.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [KB7J65QX52UA] => C:\Users\justyna i darek\AppData\Roaming\OZDTD0GD.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Ogu3FMdasw3tbhy6] => "C:\Users\justyna i darek\AppData\Roaming\dndmwdd.exe"
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [firefox] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\00010ccc.tmp
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [sys] => C:\Users\justyna i darek\AppData\Roaming\7SHBPQBYL5.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [sYSTEM Tools] => C:\Users\justyna i darek\AppData\Roaming\pixels\admin523e2cdb4a0a46e78ba1e2037bb534de.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Java Applet Launcher] => C:\Users\JUSTYN~1\AppData\Local\Temp\jd2launcher.exe 
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [windows] => C:\Users\justyna i darek\AppData\Roaming\winupdatex7.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [] => C:\ [0 ] ()
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [udpqt] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\jigtPFhx.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Windows Update] => C:\Users\justyna i darek\AppData\Roaming\System\Windows Update.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [msnmsgr] => C:\Users\justyna i darek\AppData\Roaming\microsoft\StartUp.exe [55632 2009-06-10] (Microsoft Corporation)
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [VC7T408C46XT] => C:\Users\justyna i darek\AppData\Roaming\FLASH34.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [REU0OTQzRkMzNEI3RDkzOT] => C:\ProgramData\wajyvwcl.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [MSE] => C:\Users\justyna i darek\AppData\Local\Temp\javaw.exe 
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [bfbnlkcuf] => C:\Users\justyna i darek\AppData\Local\Temp\bmghmmg.exe 
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Hylqlx] => C:\Users\justyna i darek\AppData\Roaming\Hylqlx.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [06a04cf] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\06a04cf.exe
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Policies\system: [WallpaperStyle] 2
HKU\S-1-5-18\...\Policies\system: [WallpaperStyle] 2
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
URLSearchHook: HKLM-x32 - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File
URLSearchHook: HKCU - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
BHO-x32: AOL Toolbar BHO -> {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} -> C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKLM-x32 - AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll No File
Toolbar: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000 -> No Name - {DE9C389F-3316-41A7-809B-AA305ED9D922} - No File
Toolbar: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Task: {16539DC8-8710-41C8-973D-B0CE70934AD7} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{5DCA02B1-0B4F-444E-9654-39FDFE87EB72}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{5DCA02B1-0B4F-444E-9654-39FDFE87EB72}.exe
DisableService: sptd
S3 vzcmwezd; No ImagePath
S3 ALSysIO; \??\C:\Users\JUSTYN~1\AppData\Local\Temp\ALSysIO64.sys [X]
AlternateDataStreams: C:\Windows\Temp:temp
AlternateDataStreams: C:\Users\justyna i darek\Local Settings:init
C:\Program Files\AVAST Software
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt
C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
C:\ProgramData\Doctor Web
C:\ProgramData\Norton
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader
C:\Users\justyna i darek\Doctor Web
C:\Users\justyna i darek\AppData\Local\Google\Chrome
C:\Users\justyna i darek\AppData\Local\NPE
C:\Users\justyna i darek\AppData\Roaming\microsoft\*.exe
C:\Users\justyna i darek\AppData\Roaming\Mozilla
C:\Users\justyna i darek\Nokia PC Suite 7\bkmrksync
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Wyszukiwarka na pasku narzędzi AOL" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\&Wyszukiwarka na pasku narzędzi AOL" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7} /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
CMD: netsh advfirewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a "C:\Users\justyna i darek\AppData\Local"
CMD: dir /a "C:\Users\justyna i darek\AppData\LocalLow"
CMD: dir /a "C:\Users\justyna i darek\AppData\Roaming"
CMD: dir /a "C:\Users\justyna i darek\AppData\Roaming\Microsoft"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. W systemie są dwa konta:

========================= Accounts: ==========================
 

Justyna (S-1-5-21-2497160206-2615029055-3091190810-1001 - Administrator - Enabled) => C:\Users\Justyna

justyna i darek (S-1-5-21-2497160206-2615029055-3091190810-1000 - Administrator - Enabled) => C:\Users\justyna i darek

Potrzebne raporty FRST ze wszystkich kont. Po kolei zaloguj się na każde poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i na każdym zrób po dwa raporty FRST (główny FRST oraz Addition.txt).

Dołącz też plik fixlog.txt.

.

Tak, w Firefox są rozszerzenia adware zamontowane. Przeprowadź następujące działania:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
ProxyServer: [s-1-5-21-389930386-1937088484-1190560086-1000] => sbs2k:8080
HKU\S-1-5-21-389930386-1937088484-1190560086-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/?src01=dp220140829
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829
CHR HomePage: Default -> www.wp.pl/?src01=dp220140829
CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140829"
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\awesomehp.xml
C:\Program Files (x86)\globalUpdate
C:\ProgramData\AVG
C:\Users\httrh\AppData\Local\AVG
C:\Users\httrh\AppData\Local\globalUpdate
C:\Users\httrh\AppData\Local\Mobogenie
C:\Users\httrh\AppData\Roaming\AVG
C:\Users\httrh\AppData\Roaming\RHEng
C:\Users\httrh\AppData\Roaming\OpenCandy
C:\Users\httrh\AppData\Roaming\Opera Software
C:\Users\httrh\AppData\Roaming\Systweak
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i Hola Better Internet) trzeba będzie przeinstalować.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

.

Tak. W moim poście jest zresztą komentarz spodni: "Aktualizacja: zbyt często pada pytanie czy dane są aktualne. Oczywiście, w przeciwnym wypadku dokonałabym edycji. //picasso"

I wielkie dzięki za zainteresowanie.

Przecież omawialiśmy to: KLIK.

  picasso napisał(a):

Uruchomiłeś OTL, który jako pomoc dla prowadzących przestawia automatycznie opcje Widoku, by pokazać ukryte obiekty. Widzisz teraz pewne rzeczy, bo została wyłączona opcja Ukryj chronione pliki systemu operacyjnego. Obiekty systemowe:

- Pliki desktop.ini: KLIK

- "Zablokowane foldery": KLIK.

Wejdź do Opcji folderów > Widok > zaznacz Ukryj chronione pliki systemu operacyjnego.

.

Poproszę o raporty z FRST, które wykażą z jakim środowiskiem tu mamy do czynienia.

Wszystko wykonane, kończymy. Skasuj ręcznie pobrany GMER, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

To tyle.

Usuń pobrane narzędzia z folderu D:\Torrenty. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Javę: KLIK.

FRST pomyślnie usunął te dwa foldery, więc zastosuj teraz AVG Remover, a po tym powiedz czy nadal w Panelu sterowania widać pozycję AVG.

Poprawki. Otwórz Notatnik i wklej w nim:

C:\Program Files\FindRight
C:\Program Files\GUM204C.tmp
C:\Program Files\GUT204D.tmp
C:\ProgramData\AVG
C:\ProgramData\Buena Vista Games
C:\ProgramData\IePluginService
C:\ProgramData\InstallMate
C:\Users\Sławek\AppData\Local\cache
C:\Users\Sławek\AppData\Local\Lollipop
C:\Users\Sławek\AppData\Local\Mobogenie
C:\Users\Sławek\AppData\Local\Opera Software
C:\Users\Sławek\AppData\Local\SaveSenseLive
C:\Users\Sławek\AppData\Roaming\AVG
C:\Users\Sławek\AppData\Roaming\Opera Software
C:\Users\Sławek\AppData\Roaming\QuickScan
C:\Users\Sławek\AppData\Roaming\rmi
C:\Users\Sławek\AppData\Roaming\temp.ini
C:\Users\Sławek\AppData\Roaming\TMP
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Sławek\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Users\Sławek\Desktop\Stare dane programu Firefox
CMD: netsh winsock reset
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

.

Zadaia wykonane, przechodzimy dalej, bo tu nie koniec operacji:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
HKLM-x32\...\Run: [tuto4pc_pl_21] => [X]
CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX"
C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Samsung\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z
C:\Users\Samsung\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
C:\Users\Samsung\AppData\Roaming\Bonanza
C:\Users\Samsung\AppData\Roaming\DigitalSite
C:\Users\Samsung\AppData\Roaming\DigitalSites
C:\Users\Samsung\AppData\Roaming\UpdateBonanza
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{3CD242FD-3221-4896-B3F0-1AB473ED083A}" /f
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Samsung\AppData\Local
CMD: dir /a C:\Users\Samsung\AppData\LocalLow
CMD: dir /a C:\Users\Samsung\AppData\Roaming
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Operacje w przeglądarkach:

- Opera: wejdź do Rozszerzeń i odinstaluj adware TheHDvid-Codec V10.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

.

Ten log AdwCleaner jest urwany - to na pewno cały log który się zapisał?

Tak, foldery mają wymazane uprawnienia. Kolejne podejście:

1. Otwórz Notnik i wklej w nim:

RemoveDirectory: C:\Program Files (x86)\AVG
RemoveDirectory: C:\ProgramData\AVG

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt.

2. Jeśli potwierdzę wynikowy log, spróbuj ponownie uruchomić AVG Remover.