picasso

Główny log z usuwania jest urwany. Nie istotne już, bo jest też podany log z opcji Szukaj pokazujący co było w niewidocznym fragmencie. Ostatni skrypt do FRST - otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

GMER zrobiony w niewłaściwym środowisku - czynny sterownik SPTD. Dołączony log MBAM jest pusty - dostarcz pełny plik. W raportach widać opisywany efekt, multum poszkodowanych wpisów infekcji, ale jeden jest nadal czynny. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [dndmwdd.exe] => "C:\Users\justyna i darek\AppData\Roaming\dndmwdd.exe" HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [M0JCOTNCMkY3NDQzMDNDRj] => C:\ProgramData\aqlgbtmh.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [RDUwMzMzMzE2QTU5ODNBNT] => C:\ProgramData\bryxirhy.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [84639553] => C:\ProgramData\wnvlsizt.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [MzY1QjcxRTE5NUNGM0VFRk] => C:\ProgramData\ichafcgt.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [KB7J65QX52UA] => C:\Users\justyna i darek\AppData\Roaming\OZDTD0GD.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Ogu3FMdasw3tbhy6] => "C:\Users\justyna i darek\AppData\Roaming\dndmwdd.exe" HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [firefox] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\00010ccc.tmp HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [sys] => C:\Users\justyna i darek\AppData\Roaming\7SHBPQBYL5.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [sYSTEM Tools] => C:\Users\justyna i darek\AppData\Roaming\pixels\admin523e2cdb4a0a46e78ba1e2037bb534de.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Java Applet Launcher] => C:\Users\JUSTYN~1\AppData\Local\Temp\jd2launcher.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [windows] => C:\Users\justyna i darek\AppData\Roaming\winupdatex7.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [] => C:\ [0 ] () HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [udpqt] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\jigtPFhx.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Windows Update] => C:\Users\justyna i darek\AppData\Roaming\System\Windows Update.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [msnmsgr] => C:\Users\justyna i darek\AppData\Roaming\microsoft\StartUp.exe [55632 2009-06-10] (Microsoft Corporation) HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [VC7T408C46XT] => C:\Users\justyna i darek\AppData\Roaming\FLASH34.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [REU0OTQzRkMzNEI3RDkzOT] => C:\ProgramData\wajyvwcl.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [MSE] => C:\Users\justyna i darek\AppData\Local\Temp\javaw.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [bfbnlkcuf] => C:\Users\justyna i darek\AppData\Local\Temp\bmghmmg.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [Hylqlx] => C:\Users\justyna i darek\AppData\Roaming\Hylqlx.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Run: [06a04cf] => C:\Users\justyna i darek\AppData\Roaming\Microsoft\06a04cf.exe HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\...\Policies\system: [WallpaperStyle] 2 HKU\S-1-5-18\...\Policies\system: [WallpaperStyle] 2 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2497160206-2615029055-3091190810-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie URLSearchHook: HKLM-x32 - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File URLSearchHook: HKCU - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File BHO-x32: AOL Toolbar BHO -> {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} -> C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File BHO-x32: IEPluginBHO Class -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKLM-x32 - AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files (x86)\AOL\Pasek narzędzi AOL 5.0\aoltb.dll No File Toolbar: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000 -> No Name - {DE9C389F-3316-41A7-809B-AA305ED9D922} - No File Toolbar: HKU\S-1-5-21-2497160206-2615029055-3091190810-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {16539DC8-8710-41C8-973D-B0CE70934AD7} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{5DCA02B1-0B4F-444E-9654-39FDFE87EB72}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{5DCA02B1-0B4F-444E-9654-39FDFE87EB72}.exe DisableService: sptd S3 vzcmwezd; No ImagePath S3 ALSysIO; \??\C:\Users\JUSTYN~1\AppData\Local\Temp\ALSysIO64.sys [X] AlternateDataStreams: C:\Windows\Temp:temp AlternateDataStreams: C:\Users\justyna i darek\Local Settings:init C:\Program Files\AVAST Software C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\ProgramData\Doctor Web C:\ProgramData\Norton C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\justyna i darek\Doctor Web C:\Users\justyna i darek\AppData\Local\Google\Chrome C:\Users\justyna i darek\AppData\Local\NPE C:\Users\justyna i darek\AppData\Roaming\microsoft\*.exe C:\Users\justyna i darek\AppData\Roaming\Mozilla C:\Users\justyna i darek\Nokia PC Suite 7\bkmrksync Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Wyszukiwarka na pasku narzędzi AOL" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\&Wyszukiwarka na pasku narzędzi AOL" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7} /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a "C:\Users\justyna i darek\AppData\Local" CMD: dir /a "C:\Users\justyna i darek\AppData\LocalLow" CMD: dir /a "C:\Users\justyna i darek\AppData\Roaming" CMD: dir /a "C:\Users\justyna i darek\AppData\Roaming\Microsoft" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są dwa konta: ========================= Accounts: ========================== Justyna (S-1-5-21-2497160206-2615029055-3091190810-1001 - Administrator - Enabled) => C:\Users\Justyna justyna i darek (S-1-5-21-2497160206-2615029055-3091190810-1000 - Administrator - Enabled) => C:\Users\justyna i darek Potrzebne raporty FRST ze wszystkich kont. Po kolei zaloguj się na każde poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i na każdym zrób po dwa raporty FRST (główny FRST oraz Addition.txt). Dołącz też plik fixlog.txt. .

Tak, w Firefox są rozszerzenia adware zamontowane. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: ProxyServer: [s-1-5-21-389930386-1937088484-1190560086-1000] => sbs2k:8080 HKU\S-1-5-21-389930386-1937088484-1190560086-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/?src01=dp220140829 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140829 CHR HomePage: Default -> www.wp.pl/?src01=dp220140829 CHR StartupUrls: Default -> "www.wp.pl/?src01=dp220140829" FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\awesomehp.xml C:\Program Files (x86)\globalUpdate C:\ProgramData\AVG C:\Users\httrh\AppData\Local\AVG C:\Users\httrh\AppData\Local\globalUpdate C:\Users\httrh\AppData\Local\Mobogenie C:\Users\httrh\AppData\Roaming\AVG C:\Users\httrh\AppData\Roaming\RHEng C:\Users\httrh\AppData\Roaming\OpenCandy C:\Users\httrh\AppData\Roaming\Opera Software C:\Users\httrh\AppData\Roaming\Systweak EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i Hola Better Internet) trzeba będzie przeinstalować. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Tak. W moim poście jest zresztą komentarz spodni: "Aktualizacja: zbyt często pada pytanie czy dane są aktualne. Oczywiście, w przeciwnym wypadku dokonałabym edycji. //picasso" I wielkie dzięki za zainteresowanie.

Przecież omawialiśmy to: KLIK. Wejdź do Opcji folderów > Widok > zaznacz Ukryj chronione pliki systemu operacyjnego. .

Poproszę o raporty z FRST, które wykażą z jakim środowiskiem tu mamy do czynienia.

Wszystko wykonane, kończymy. Skasuj ręcznie pobrany GMER, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle.

Usuń pobrane narzędzia z folderu D:\Torrenty. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Javę: KLIK.

FRST pomyślnie usunął te dwa foldery, więc zastosuj teraz AVG Remover, a po tym powiedz czy nadal w Panelu sterowania widać pozycję AVG.

Poprawki. Otwórz Notatnik i wklej w nim: C:\Program Files\FindRight C:\Program Files\GUM204C.tmp C:\Program Files\GUT204D.tmp C:\ProgramData\AVG C:\ProgramData\Buena Vista Games C:\ProgramData\IePluginService C:\ProgramData\InstallMate C:\Users\Sławek\AppData\Local\cache C:\Users\Sławek\AppData\Local\Lollipop C:\Users\Sławek\AppData\Local\Mobogenie C:\Users\Sławek\AppData\Local\Opera Software C:\Users\Sławek\AppData\Local\SaveSenseLive C:\Users\Sławek\AppData\Roaming\AVG C:\Users\Sławek\AppData\Roaming\Opera Software C:\Users\Sławek\AppData\Roaming\QuickScan C:\Users\Sławek\AppData\Roaming\rmi C:\Users\Sławek\AppData\Roaming\temp.ini C:\Users\Sławek\AppData\Roaming\TMP RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sławek\Desktop\FRST-OlderVersion RemoveDirectory: C:\Users\Sławek\Desktop\Stare dane programu Firefox CMD: netsh winsock reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

Zadaia wykonane, przechodzimy dalej, bo tu nie koniec operacji: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [tuto4pc_pl_21] => [X] CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX" C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Samsung\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\Samsung\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Samsung\AppData\Roaming\Bonanza C:\Users\Samsung\AppData\Roaming\DigitalSite C:\Users\Samsung\AppData\Roaming\DigitalSites C:\Users\Samsung\AppData\Roaming\UpdateBonanza Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{3CD242FD-3221-4896-B3F0-1AB473ED083A}" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Samsung\AppData\Local CMD: dir /a C:\Users\Samsung\AppData\LocalLow CMD: dir /a C:\Users\Samsung\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Operacje w przeglądarkach: - Opera: wejdź do Rozszerzeń i odinstaluj adware TheHDvid-Codec V10. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Ten log AdwCleaner jest urwany - to na pewno cały log który się zapisał?

Tak, foldery mają wymazane uprawnienia. Kolejne podejście: 1. Otwórz Notnik i wklej w nim: RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\ProgramData\AVG Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przedstaw wynikowy fixlog.txt. 2. Jeśli potwierdzę wynikowy log, spróbuj ponownie uruchomić AVG Remover.

Był używany SpyHunter, to wątpliwy program z czarnej listy (reklamierz naciskający na instalację, która okazuje się płatna). Z daleka od niego. Należy jeszcze doczyścić szczątki adware i programów. Przeprowadź następujące działania: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PodoWeb. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: C:\Windows\Tasks\7af4c1f6-ea15-4018-b7f2-63795352adf1-1.job => C:\Program Files\Senses\Senses-codedownloader.exe Task: C:\Windows\Tasks\7af4c1f6-ea15-4018-b7f2-63795352adf1-7.job => C:\Program Files\Senses\7af4c1f6-ea15-4018-b7f2-63795352adf1-7.exe BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll No File S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Program Files\Enigma Software Group C:\Program Files\ESET C:\Program Files\Temp C:\ProgramData\TEMP C:\Windows\455F074C814E4520B69B5584BD90400C.TMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

A u mnie nie ma żadnego błędu. Co widzisz uruchamiając ten link: KLIK. Powinno się zainicjować pobieranie.

Jeśli system wolno startuje i działa, to nadal podejrzany McAfee, ale to już omówione. Skoro wyczyszczenie Google Chrome zlikwidowało określone problemy, to kończymy temat: 1. Skasuj ręcznie pobrany FRST z folderu C:\Users\Patrycjusz\Desktop\New folder (2). Następnie zastosuj DelFix: KLIK. 2. Była tu infekcja VBKlip, na wszelki wypadek zmień hasła logowania do banku. 3. I przeczytaj na co uważać przy pobieraniu, by zminimalizować problem instalacji adware / reklam: KLIK.

Jak mówiłam, nie jestem w stanie wykoncypować co tu się stało, że są braki (i to bardzo selektywne braki). Jeśli czegoś brakuje, to spróbuj softu do odzyskiwania danych, tak jak proponowałam w podlinkowanym temacie.

A co z Google Chrome? To odrębna sprawa do załatwienia.

W tych raportach także nie widać żadnych oznak infekcji. Nie wygląda na to, bym miała tu coś do roboty, więc kończymy: 1. Usuń używane narzędzia. Skasuj ręcznie pobrany GMER, a do reszty zastosuj DelFix: KLIK. 2. Skoryguj drobny błąd WMI numer 10 zgłaszany w Dzienniku zdarzeń za pomocą narzędzia Fix-it: KLIK. 3. Zastąp stary Adobe Reader 9 najnowszą wersją: KLIK. To tyle.

Po prostu podaję Ci potencjalną przyczynę problemów, oprogramowanie zabezpieczające może tworzyć problemy w systemie, bo to bardzo inwazyjny soft, na różnych systemach (unikatowe konfiguracje) mogą być różne nieprzewidywalne zachowania. Tak, to oczywiste, że deinstalując ten pakiet należałoby zamienić go czym innym. W pierwszej kolejności zdowoduj czy McAfee jest problemem, tzn. testowo odinstaluj. Jeśli problemy ustąpią, masz odpowiedź co je tworzy i McAfee niestety nie w tym przypadku. Jeśli problemy nie ustąpią, możesz zainstalować ponownie program.

Ad "prosiłeś" = jestem kobietą. Zabrakło trzeciego raportu FRST Shortcut. Co to był za plik SCR, skąd pobrany, jaka nazwa? Póki co, nie widzę tu żadnych oznak infekcji. Jednakże w systemie są dwa konta: ========================= Accounts: ========================== Filip (S-1-5-21-4090538540-1644734989-1432175974-1000 - Administrator - Enabled) => C:\Users\Filip Michał (S-1-5-21-4090538540-1644734989-1432175974-1001 - Administrator - Enabled) => C:\Users\Michał Logi z FRST zostały zrobione z kota Filip. Na wszelki wypadek dostarcz logi z drugiego konta. Zaloguj się na nie poprzez pełny restart komputera (a nie opcję Wyloguj czy Przełącz użytkownika). .

Dopóki jest włączona synchronizacja, czyszczenie lokalnego Google Chrome mija się z celem, złe ustawienia będą odtwarzane z serwera Google. 1. Należy w pierwszej kolejności wyłączyć synchronizację i poczekać, aż dane zostaną wyczyszczone z serwera. 2. Następnie wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 3. Dopiero po tym można włączyć synchronizację, na serwerze powinny zostać zapisane nowe dane. Może McAfee LiveSafe - Internet Security przeszkadza. Ten pakiet mógłby również przyczyniać się do tych efektów: .

Drobne poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1270606213-4017362319-1625700523-1000\...\Run: [Google Update] => "C:\Users\samsung\AppData\Local\Google\Update\GoogleUpdate.exe" /c DPF: HKLM-x32 {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: HKLM-x32 {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} Reg: reg delete HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealPly /f Reg: reg delete "HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f Reg: reg delete "HKU\S-1-5-21-1270606213-4017362319-1625700523-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 File: C:\Program Files (x86)\Norton Security with Backup\Engine\22.0.0.110\NSBU.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Po Przywracaniu systemu jest mniej czynnych elementów adware, co sugeruje jedno z dwóch: - Próbując instalować brakujące sterowniki pościągałeś więcej śmieci,. - Używałeś jakiś skaner. Widać nową instalację MBAM. Czy go uruchamiałeś? I doczyść to co widać, potem będę rozważać o co chodzi z siecią. Wykonaj następujące akcje: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware WinZipper. - Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {ed7eb956-75ed-460d-8f69-29a93b07afd1}t; C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}t.sys [55232 2014-08-09] (StdLib) R1 tStLibG; C:\Windows\System32\drivers\tStLibG.sys [55224 2014-03-25] (StdLib) R2 MaintainerSvc3.62.8360938; C:\ProgramData\421e43cc-ed79-4e60-91b6-5efd8c307dd0\maintainer.exe [123680 2014-11-15] () R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [425104 2014-02-26] (Taiwan Shui Mu Chih Ching Technology Limited.) S3 massfilter; system32\drivers\massfilter.sys [X] S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X] S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X] U4 WMCoreService; No ImagePath S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] Task: {12902C28-561A-41A0-81EC-D4D830CB4D37} - \SaveSenseLiveUpdateTaskMachineCore No Task File Task: {2230D236-8880-48E2-ADCF-45C09CBCBD78} - \7a781de1-3377-41d3-b84f-61fedd171008-4 No Task File Task: {507F6EF4-70A2-4341-BEFA-3AA33A1D25BD} - System32\Tasks\Windows Updater => C:\Users\Sławek\AppData\Roaming\Oxy\Updater.exe [2014-06-16] () Task: {551B0ABB-D1B7-4DBD-89A9-9C9AC1E03D30} - \globalUpdateUpdateTaskMachineUA No Task File Task: {55B26115-8E45-4A77-BCCB-53F5D7CBDB92} - \7a781de1-3377-41d3-b84f-61fedd171008-3 No Task File Task: {78E6367F-A758-4C60-A986-06776D565F76} - \7a781de1-3377-41d3-b84f-61fedd171008-1 No Task File Task: {89AF4914-0ADB-4BEC-9406-AA0B4AE49A32} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe Task: {8B05BEDB-DE9E-4DA9-89EA-98C0C00AAED1} - \7a781de1-3377-41d3-b84f-61fedd171008-11 No Task File Task: {8D3E9B97-AB30-4725-99DA-628A5F26F56C} - \7a781de1-3377-41d3-b84f-61fedd171008-5 No Task File Task: {96BD9A69-742A-46FC-AFDE-7A37956EFDEB} - \SaveSense No Task File Task: {A956FA93-343D-47C5-9467-DCBD75395700} - System32\Tasks\LuckyTab => C:\Program Files\LuckyTab\LuckyTab.exe [2014-11-02] (http://lucky-tab.com/) Task: {B52744BF-6CC4-48ED-9326-93E653F0CAB2} - System32\Tasks\PileFile reminder => C:\Users\SAWEK~1\AppData\Local\Temp\install.exeDownload_66A5\install.exe_Downloader.exe Task: {BC0DB3D8-87B4-4AB5-B9AF-50EA0A7A97DF} - System32\Tasks\Oxy => C:\Users\Sławek\AppData\Roaming\Oxy\Updater.exe [2014-06-16] () Task: {C0206D6A-C726-480A-A80B-9E45299D4A64} - \7a781de1-3377-41d3-b84f-61fedd171008-6 No Task File Task: {C3C78A75-D0D0-4579-8A39-FE8F6D521E0A} - \7a781de1-3377-41d3-b84f-61fedd171008-7 No Task File Task: {D1BD05D2-6DA5-41DC-8D23-358A73734C97} - \SaveSenseLiveUpdateTaskMachineUA No Task File Task: {DB8A769B-DBC6-4830-B78A-EC771F7C5070} - \9c58613a-4d4c-4bc2-b8c7-d8e2c5bfff38 No Task File Task: {E44A11E3-2F0D-4D12-8231-5D6A804C277A} - \globalUpdateUpdateTaskMachineCore No Task File Task: {FEB67D06-DBBA-48FD-B2E7-B609A3AB7767} - System32\Tasks\PileFile logon => C:\Users\SAWEK~1\AppData\Local\Temp\install.exeDownload_66A5\install.exe_Downloader.exe Task: C:\Windows\Tasks\SaveSense.job => C:\Users\SAWEK~1\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE CustomCLSID: HKU\S-1-5-21-2720886539-1331735733-2511516463-1000_Classes\CLSID\{9000834c-c6c7-43ac-b8ee-dc9668f39a81}\localserver32 -> C:\Users\SAWEK~1\AppData\Local\Temp\{91814ec0-b5f0-11d2-80b9-00104b1f6cea}\IDriver.NonElevated.exe N (the data entry has 6 more characters). ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\Users\Sławek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\Users\Sławek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G ShortcutWithArgument: C:\Users\Sławek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKLM\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Users\Sławek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ep.crx [2014-02-26] HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G&ts=1393440641&type=default&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141109 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1407624859&from=ild&uid=ST9250320AS_5SW33W3GXXXX5SW33W3G&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\BonanzaDeals C:\Program Files\globalUpdate C:\Program Files\Mobogenie C:\Program Files\predm C:\Program Files\LuckyTab C:\Program Files\SaveSenseLive C:\Program Files\SupTab C:\Program Files\TheTorntv V10 C:\Program Files\WebSpades C:\Program Files\WinZipper C:\ProgramData\421e43cc-ed79-4e60-91b6-5efd8c307dd0 C:\ProgramData\boost_interprocess C:\ProgramData\IePluginServices C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\ProgramData\WPM C:\Users\Sławek\AppData\Local\genienext C:\Users\Sławek\AppData\Local\globalUpdate C:\Users\Sławek\AppData\Local\Pay-By-Ads C:\Users\Sławek\AppData\Local\SaveSense C:\Users\Sławek\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\Sławek\AppData\Roaming\newnext.me C:\Users\Sławek\AppData\Roaming\Oxy C:\Users\Sławek\AppData\Roaming\SimpleFiles C:\Users\Sławek\AppData\Roaming\SupTab C:\Users\Sławek\AppData\Roaming\systweak C:\Users\Sławek\AppData\Roaming\WebExtend C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\LuckyTab C:\Users\Sławek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SaveSense C:\Users\Sławek\Desktop\Continue installation*.lnk C:\Users\Sławek\Downloads\*downloader.exe C:\Users\Sławek\Downloads\SoftonicDownloader*.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\drivers\{ed7eb956-75ed-460d-8f69-29a93b07afd1}t.sys C:\Windows\System32\drivers\tStLibG.sys RemoveDirectory: C:\Users\Sławek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Torntv Downloader" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent" /f CMD: dir /a "C:\Program Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Sławek\AppData\Local CMD: dir /a C:\Users\Sławek\AppData\LocalLow CMD: dir /a C:\Users\Sławek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Goole Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Extended Protection, Lightning Newtab, Lightning speedDial, Quick start,WebSpades Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Proszę dostosuj się do zasad działu w kwestii obowiązkowych logów: KLIK. OTL to przestarzałe narzędzie sprawdzane tu tylko pobocznie. Poza tym, w ogóle źle skonfigurowany OTL, dlatego tak ogromny (ustawione Wszystko zamiast Użyj filtrowania). Dostarcz obowiązkowe logi z FRST i GMER. Logi proszę doczep metodą Załączników forum, nie hostuj na sendfile.