picasso

Wszystko zrobione, więc kroki końcowe. Usuń ręcznie folder C:\ProgramData\Kaspersky Lab oraz narzędzia z H:\instalki\RATUNKOWE, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Czy hasło logowania było domyślne? Po wyczyszczeniu routera problem powinien ustąpić na pozostałych komputerach, aczkolwiek jest możliwe, że bufor DNS czy cache przeglądarki nadal będzie produkować objawy i należy je wyczyścić. Czyszczenie tych sfer już uwzględniłam w skrypcie FRST dla tego komputera (komendy ipconfig /flushdns i EmptyTemp:). Na wszelki wypadek możesz podać logi z pozostałych komputerów. Nie mam zastrzeżeń.

Log z FRST nie pokaże zadań Harmonogramu w Addition, które należą do Microsoftu. FRST filtruje wszystkie domyślne zadania wbudowane w system i w tym konkretnym przypadku nie można wyłączyć białej listy, by sprawdzić jak wyglądają zadania Microsoftu oraz czy są one włączone.

Wg Microsoftu nie ma możliwości całkowitego wyłączenia "Sync Center". Ikona się u Ciebie pojawia, bo masz czynną określoną funkcję, która utylizuje to centrum. Zapobieganie uruchamianiu procesu mobsync.exe jest składową deaktywacji kilku funkcji: - Pliki Offline: KLIK. U mnie funkcja z opisu nie jest wyłączona, ale mam z kolei nieaktywne powiązane zadania w Harmonogramie. W Autoruns po włączeniu pokazywania wpisów MS w karcie Scheduled Tasks powinny być widoczne dwa zadania \Microsoft\Windows\Offline Files\Background Synchronization + \Microsoft\Windows\Offline Files\Logon Synchronization. Odfajkować, o ile nie są już w takim stanie. - Podłączanie określonych urządzeń mobilnych oraz oprogramowanie ich obsługi, np. "Windows Mobile Device Center". Jeśli nie korzystasz z tego, można to całkowicie odinstalować via Panel sterowania. W przypadku braku rezultatów można spróbować ręcznie przekonfigurować uchwyty synchronizacji na poziomie rejestru. Tzn.: 1. W kluczu: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\SyncMgr Wartość StartAtLogin ustawić na 0. Sądzę, że to już jest wystarczające, ale na wszelki wypadek jeszcze kolejne punkty: 2. Klucz SyncMgr ma podklucze o nazwie {klasy} związanej z danym obiektem synchronizacyjnym. U mnie jest tylko klasa Plików Offline, ale na innych systemach mogą występować także dodatkowe klasy związane z innymi funkcjami (np. jeśli jest zainstalowany SQL). HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\SyncMgr\HandlerInstances\{750FDF10-2A26-11D1-A3EA-080036587F03} W tym kluczu wartość Active ustawić na 0. 3. Jeśli występuje kolejny podklucz (u mnie brak), skasować: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\SyncMgr\HandlerInstances\{750FDF10-2A26-11D1-A3EA-080036587F03}\SyncItems Przy czym i tak jest możliwe, że uruchomienie czegoś co korzysta z synchronizacji może ponownie załadować proces mobsync.exe. C:\Windows\Tasks to stara lokalizacja na pliki *.job i tam to spodziewaj się tylko zadań firm trzecich (np. Adobe Flash czy Google Update). Zadania systemowe uruchamiają się z C:\Windows\system32\Tasks, są w formacie XML a nie JOB i są zarejestrowane także na poziomie rejestru. Usuwanie samego pliku z dysku nie jest poprawną metodą, trzeba uwzględnić także usuwanie z klucza TaskCache.

Grillaz, o ile zamianę archaicznego i pozbawionego wsparcia XP na nowszy Windows 7 uznaję za słuszną, to już oczywiste, że kombinacje, by obejść aktywację są poza skalą moich rozważań. O "Loaderach" nie powinnam się tu wypowiadać, forum nie może wspierać takich działań. W skrócie powiem, że: - "Loader" jest inwazyjny. Przeważnie sprawa się kręci wokół modyfikacji bootowania / plików Windows, ale sposób wykonania tego może być różny w zależności od "produkcji". - W żadnym wypadku nie próbuj ładować obiektu o nazwie "Chew7Hale" - jest to element wpływający bardzo negatywnie na system (radykalne obniżenie wydajności) i tu na forum liczne tematy z systemami poszkodowanymi (deinstalacja pomogła przywrócić stan pierwotny). - Trudno mi ocenić zagrożenie, bo są różne loadery i nie dam żadnych gwarancji, że coś jest bezpieczne i nie ma jakiegoś backdoora doczepionego.

Wg SFC jest mnóstwo uszkodzonych plików nienaprawialnych przez system (brak zgodnych kopii zapasowych). Robota ręczna jest skomplikowana i pracochłonna: trzeba wyszukać wszystkie kopie plików zgłoszone przez SFC i podstawić ich idealnie zgodne odpowiedniki (identyczna suma kontrolna, to nie może być plik tylko o określonej nazwie) z innego niezdefektowanego komputera. Wypadałoby zrobić Przywracanie systemu, tylko że tu niestety brak jakichkolwiek punktów Przywracania (w FRST Addition pusty spis) .... Przykro mi, ale na razie tym nie jestem w stanie się zająć, tych plików jest ogromna ilość.

Hajasz, to nie ten log i go usuwam. Podałeś mi kopię skanu głównego FRST_data_czas.txt, a ja mówię o pliku z wynikami skryptu Fixlog_data_czas.txt.

Strzelczanin To są po prostu skróty od wartości AntiVirusProduct, FirewallProduct, AntiSpywareProduct w obszarze nazw WMI: KLIK.

Tak, tu już będzie finisz, tylko mi potwierdź, że modyfikacja adresu Nowej karty zadana w skrypcie powyżej się wykonała.

okolemon, ale my się nie rozumiemy... Nie prosiłam o "słowny lepszy opis problemu". Dałeś mi tylko jeden plik OTL Extras (plik poboczny). Masz uzupełnić wymagane logi, tzn. dostarczyć logi z narzędzi FRST i GMER.

Hajasz, w zasadach jest wyraźnie napisane, że skrypty są jednorazowe (nie zrobią po raz drugi tego samego). W przypadku problemu ze skryptem od razu zgłaszasz się na forum i opisujesz co się dzieje, skryptu nie powtarzasz. Podany tu log Fixlog to już drugie podejście (nie pokazuje usuwania, bo nic nie znalezione). Proszę wejdź do folderu C:\FRST\Logs i popatrz czy są dwa pliki o modelu nazwy Fixlog_data_czas.txt - proszę o dostarczenie tego najstarszego.

O ile skrypt wykonany, to resetu Firefox nie zrobiłeś, tylko coś innego (wygląda na ręczną próbę usuwania tylko tego konkretnego pliku rozszerzenia z dysku) i nadal nie jest czysto (zanieczyszczony extensions.ini kierujący do odinstalowanego "Flash Playera"). Reset tworzy nowy czysty profil, a tu w logu nadal stary profil i owe wpisy "not found". Tak więc reset Firefox nadal aktualny. Po tym nowy log FRST (bez Addition i Shortcut). I poproszę o pokazanie jednak logów AdwCleaner[s1].txt + AdwCleaner[s2].txt.

To jest wyjaśnione w linku, który dałam... W tym momencie masz wklepać numer, który jest w oknie przyznany wykrytym instalacjom ESET w sekcji "Installed AV products". Np.: A jeśli nie ma żadnych instalacji wykrytych, to narzędzie nie ma się czym zajmować. .

Czy przeprowadziłeś tę akcję z Google Chrome? Na koniec: Zastosuj DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Javę: KLIK.

Zrobione. Kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle.

W systemie działa adware (globalUpdate i Plus-HD-9.6). Metody nabycia: KLIK. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Plus-HD-9.6 oraz starszą wersję Adobe Reader X (10.1.12) MUI. Jeśli nie będzie się dało (błąd) lub wejście nie będzie widoczne, nie szkodzi, kontynuuj dalej: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2546757417-2285422710-3828388020-1001\...\Run: [Tiny download manager] => "C:\Users\Marcin\AppData\Local\DM\TinyDM.exe" /M HKU\S-1-5-21-2546757417-2285422710-3828388020-1001\...\MountPoints2: {7c6f41fe-b35c-11e3-8eb5-dc85de2a4d10} - F:\auto.exe HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM\...\Run: [DptfPolicyLpmServiceHelper] => C:\Windows\SysWOW64\DptfPolicyLpmServiceHelper.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe ShellIconOverlayIdentifiers: [AsusWSShellExt_B] -> {6D4133E5-0742-4ADC-8A8C-9303440F7190} => No File ShellIconOverlayIdentifiers: [AsusWSShellExt_O] -> {64174815-8D98-4CE6-8646-4C039977D808} => No File ShellIconOverlayIdentifiers: [AsusWSShellExt_U] -> {1C5AB7B1-0B38-4EC4-9093-7FD277E2AF4D} => No File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=476&aid=175&itype=n&ver=12791&tm=374&src=hmp HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=12791&tm=374&src=ds&p={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=12791&tm=374&src=ds&p={searchTerms} SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=n&ver=12791&tm=374&src=ds&p={searchTerms} Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File CHR HomePage: Default -> hxxp://www.default-search.net?sid=476&aid=175&itype=n&ver=12791&tm=374&src=hmp FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) Task: {1558F514-D74F-47E0-A6D1-E93F9BEC7649} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-06-10] (globalUpdate) Task: {1E990F8A-B85D-466B-98C4-BE8A5008B2A9} - System32\Tasks\AsusVibeSchedule => C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe Task: {75BB9A55-5476-4154-91DB-23A7897B391E} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-06-10] (globalUpdate) Task: {C59CDD99-0E01-4E11-BC45-2B323159C826} - System32\Tasks\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-5 => C:\Program Files (x86)\Plus-HD-9.6\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-5.exe Task: {CD277B04-33A1-4F67-A4CF-D70E260D3EAE} - System32\Tasks\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-4 => C:\Program Files (x86)\Plus-HD-9.6\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-4.exe [2014-06-10] (Plus HD) Task: C:\Windows\Tasks\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-4.job => C:\Program Files (x86)\Plus-HD-9.6\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-4.exe Task: C:\Windows\Tasks\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-5.job => C:\Program Files (x86)\Plus-HD-9.6\bd69fe80-f1b1-4f8f-b1a7-9e87900f7877-5.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-06-10] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-06-10] (globalUpdate) [File not signed] S3 X6va012; \??\C:\Windows\SysWOW64\Drivers\X6va012 [X] S3 X6va013; \??\C:\Windows\SysWOW64\Drivers\X6va013 [X] S3 X6va014; \??\C:\Windows\SysWOW64\Drivers\X6va014 [X] S3 X6va015; \??\C:\Windows\SysWOW64\Drivers\X6va015 [X] S3 X6va016; \??\C:\Windows\SysWOW64\Drivers\X6va016 [X] C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Plus-HD-9.6 C:\Users\Marcin\AppData\Local\DM C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Marcin\AppData\Local\Mobogenie C:\Users\Marcin\AppData\Roaming\ASUS WebStorage C:\Users\Marcin\AppData\Roaming\DSite C:\Users\Marcin\AppData\Roaming\OpenCandy C:\Users\Marcin\AppData\Roaming\Opera Software C:\Users\Marcin\AppData\Roaming\systweak Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Plus-HD-9.6 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Marcin\AppData\Local CMD: dir /a C:\Users\Marcin\AppData\LocalLow CMD: dir /a C:\Users\Marcin\AppData\Roaming CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Mówiłam:

Na temat używania ComboFix: KLIK. I prawdopodobnie w ogóle nie będzie używany. Proszę dostosuj się do zasad działu, przecież brak danych: KLIK. Jak wskazywane, dostarcz obowiązkowe logi z FRST, OTL i GMER.

Sprawdź czy da radę usunąć te wpisy AVG Remover.

Nazwy plików sugerują mi, iż wyciągnęłaś je z folderu C:\FRST\Logs. To archiwum logów i tam nie grzeb. Bieżący log jest zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w folderze C:\Users\Gabriel\Downloads. TornTV to adware i nadal jest w pełni aktywne. Poza tym, w systemie mnóstwo innych wpisów adware. Na przyszłość: ComboFix to nie jest dobra / poprawna metoda usuwania takich rzeczy. Program na chama i niekompletnie usuwa takie obiekty, a prawidłowa sekwencja to deinstalacja, dopiero po tym można używać jakieś automaty. I jest lepszy program do adware niż ComboFix (większa specjalizacja), ale o tym to pogadamy potem. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj: - Adware: DefaultTab, DomaIQ, FlashPlayer, HDvid Codec V6.0, Only Chrome Toolbar, TornTV, Torntv V9.0. Mogą być problemy, bo ComboFix uszkodził niektóre z instalacji. W przypadku błędów lub braku widoczności wpisów po prostu kontynuuj dalej, i tak te wpisy zostaną potem usunięte. - Stare dziurawe aplikacje: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.9) MUI, Java 7 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKCU\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.only-search.com/?babsrc=HP_ss&mntrId=822120107A4A93AE&affID=129300&tsp=5302 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=822120107A4A93AE&affID=121284&tt=240913_238&tsp=5016 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2635464121-2190165053-1944712122-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.only-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=822120107A4A93AE&affID=129300&tsp=5302 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - 45973938820B49DC844205652E7235BB URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=822120107A4A93AE&affID=119357&tt=070813_wt4&tsp=4969 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.only-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=822120107A4A93AE&affID=129300&tsp=5302 SearchScopes: HKCU - {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKCU - {9BF870E1-0FD9-4895-9409-F02C845F90D6} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYGB&apn_uid=995FC42B-8DB6-4146-A4FB-95F8789A71B1&apn_sauid=20ED4317-2CB4-4D09-BB00-A0F091C7CDE5 BHO-x32: Torntv V9.0 -> {11111111-1111-1111-1111-110511131190} -> C:\Program Files (x86)\Torntv V9.0\Torntv V9.0-bho.dll (installdaddy) BHO-x32: DefaultTab Browser Helper -> {7F6AFBF1-E065-4627-A2FD-810366367D01} -> C:\Users\Gabriel\AppData\Roaming\defaulttab\defaulttab\DefaultTabBHO.dll No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File CHR HKLM-x32\...\Chrome\Extension: [bgnnidmnbdkmhfkjgdnngciimpdgohok] - C:\Program Files (x86)\LSHunter.TV\stv12.crx [] CHR HKLM-x32\...\Chrome\Extension: [kdidombaedgpfiiedeimiebkmbilgmlc] - C:\Program Files (x86)\DefaultTab\DefaultTab.crx [] Task: {6811688E-37B3-434F-8F78-1CC68DF2F918} - System32\Tasks\4875 => Wscript.exe C:\Users\Gabriel\AppData\Local\Temp\launchie.vbs //B Task: {826EAE6C-8749-43D1-BFB0-FDE50BBDC80C} - System32\Tasks\0 => Iexplore.exe Task: {86BC176D-2AC9-4B46-B24E-F9B3C9E369F9} - System32\Tasks\{9D289EB4-D5B4-4510-BB8A-F01B8F19CFC7} => Chrome.exe http://ui.skype.com/ui/0/6.0.0.126/en/abandoninstall?page=tsProgressBar Task: {A35DBD1B-D4AE-4107-B24E-C1157F342C8E} - System32\Tasks\{0FCDEEF9-451D-4433-AD6E-8D17C9968876} => Chrome.exe http://ui.skype.com/ui/0/6.0.0.126/en/abandoninstall?page=tsProgressBar Task: {B1E42D74-BBE9-44A5-B2DB-C45CEA96A1E2} - System32\Tasks\{C690FFA7-D168-4ACF-8F6D-AC71D2D3D72D} => C:\Program Files (x86)\O2\Connection Manager\EMMSN.exe Task: C:\Windows\Tasks\0414bUpdateInfo.job => C:\ProgramData\Avg_Update_0414b\0414b_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\0814avUpdateInfo.job => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-1.job => C:\Program Files (x86)\Torntv V9.0\Torntv V9.0-codedownloader.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-11.job => C:\Program Files (x86)\Torntv V9.0\9d8245d0-27bc-4ae3-8587-495f11625470-11.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-2.job => C:\Program Files (x86)\Torntv V9.0\9d8245d0-27bc-4ae3-8587-495f11625470-2.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-4.job => C:\Program Files (x86)\Torntv V9.0\9d8245d0-27bc-4ae3-8587-495f11625470-4.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-5.job => C:\Program Files (x86)\Torntv V9.0\9d8245d0-27bc-4ae3-8587-495f11625470-5.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-5_user.job => C:\Program Files (x86)\Torntv V9.0\9d8245d0-27bc-4ae3-8587-495f11625470-5.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-6.job => C:\Program Files (x86)\Torntv V9.0\Torntv V9.0-novainstaller.exe Task: C:\Windows\Tasks\9d8245d0-27bc-4ae3-8587-495f11625470-7.job => C:\Program Files (x86)\Torntv V9.0\Torntv V9.0-nova.exe Task: C:\Windows\Tasks\AVG_REG_0214c.job => C:\ProgramData\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe Task: C:\Windows\Tasks\AVG_SYS_TASK_DELETE.job => C:\ProgramData\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe Task: C:\Windows\Tasks\EPUpdater.job => C:\Users\Gabriel\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\HDvid Codec V6.0-chromeinstaller.job => C:\Program Files (x86)\HDvid Codec V6.0\HDvid Codec V6.0-chromeinstaller.exe S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-08] (globalUpdate) [File not signed] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HDPlayer C:\Program Files (x86)\HDvid Codec V6.0 C:\Program Files (x86)\Torntv V9.0 C:\ProgramData\AVG 0214c Campaign C:\ProgramData\DSearchLink C:\ProgramData\Mozilla C:\ProgramData\Temp C:\Users\Gabriel\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Gabriel\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgjmlfbfnpdbaghgldginlcfgaeggfhj C:\Users\Gabriel\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Gabriel\AppData\Local\Mozilla C:\Users\Gabriel\AppData\Roaming\defaulttab C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HDPlayer C:\Users\Gabriel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\Gabriel\AppData\Roaming\Mozilla C:\Users\Gabriel\Desktop\Search.lnk C:\Users\Gabriel\Desktop\TornTV.lnk Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{BA8B8ADA-084F-4F79-A0CA-6E58A0808794} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DomaIQ Uninstaller" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HDvid Codec V6.0" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Only Chrome Toolbar" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Torntv V9.0" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Gabriel\AppData\Local CMD: dir /a C:\Users\Gabriel\AppData\LocalLow CMD: dir /a C:\Users\Gabriel\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście wyszukaj zdefektowaną pozycję szczątkową avast! Firewall NDIS Filter Miniport, odinstaluj i zresetuj system. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Przy deinstalacji Chrome nie zaznaczaj opcji Usuń także dane przeglądarki, to zachowa profil przeglądarki. Następnie instalujesz stabilną wersję z tego linka: KLIK. Profil powinien zostać zaakceptowany przez nową instalację. W Ustawienia > karta Rozszerzenia sprawdzasz czy któreś z rozszerzeń nie zostało zablokowane i oznaczone jako pochodzące spoza sklepu Google.

Jedyna kompletna droga powrotu z wersji dev-m do m (stabilna), to reinstalacja Google Chrome, by nadpisać pliki.

Jedyne co było robione, to usuwane polityki Google, które nie są normalne i nie powinno ich być w systemie. Stabilna wersja Google Chrome nie powinna się automatycznie aktualizować do wersji "development", bo to zupełnie inny kanał aktualizacyjny. U Ciebie muszą być dodatkowe okoliczności. Czy na pewno nie wykonałeś ręcznej zmiany kanału? Czy nie ma przypadkiem w rozszerzeniach czegoś co nie występuje w oficjalnym sklepie Chrome We Store? Wersje stabilne mają blokadę takich rozszerzeń, development wręcz przeciwnie - może któreś z rozszerzeń przestawiło kanał?

Wszystko zostało pomyślnie wykonane, programy zabezpieczające są odblokowane. Natomiast: Ja nadal widzę tę pozycję na liście zainstalowanych programów. Czy jest jakiś problem z deinstalacją tego?

To nie jest właściwy log ComboFix. Chodziło o plik C:\ComboFix.txt. Jeśli tego pliku nie ma na dysku, to może już poprzednio deinstalacja CombFix częściowo została wykonana. Kliknij w niebieski link w moim poście, to przecież otworzy stronę z dokładnymi instrukcjami skąd pobrać FRST, jak uruchomić i skonfigurować. Otwórz dzienniki / kwarantannę swojego antywirusa i wyszukaj ten wynik. Przeklej do posta w czym infekcja była widziana. .

Logi proszę umieszczaj jako załączniki forum a nie na hostingach (zniekształcenia). Wstawione w załączniki. Brakuje trzeciego pliku FRST Shortcut. W systemie działają aktywne infekcje, nabyte przez jakieś lewe paczki / cracki z torrentów i podobnych, a Windows Defender (i nie tylko on) jest zablokowany poprzez Debugger nałożony przez malware. Jest też wpis otwierający stronę extendedunlimited.org przy starcie oraz różne odpadki adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [cssrrs] => C:\Users\Jakub\AppData\Roaming\csrrs.exe [806912 2014-11-04] ( ) HKU\S-1-5-21-4193634356-1386167445-2874816342-1001\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit HKU\S-1-5-21-4193634356-1386167445-2874816342-1001\...\Run: [cssrrs] => C:\Users\Jakub\AppData\Roaming\csrrs.exe [806912 2014-11-04] ( ) HKU\S-1-5-21-4193634356-1386167445-2874816342-1001\...\Winlogon: [shell] C:\Users\Jakub\AppData\Roaming\csrrs.exe [806912 2014-11-04] ( ) HKU\S-1-5-21-4193634356-1386167445-2874816342-1001\...\Policies\system: [DisableLockWorkstation] 0 HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0 IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\cc_loadingpage.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hamachi-2-ui.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\msascui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spotify.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\startfastboot.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\super charger.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\TuneUpUtilitiesApp64.exe: [Debugger] nqij.exe IFEO\TuneUpUtilitiesService64.exe: [Debugger] nqij.exe IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\unins001.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe Task: {93D3FFB6-73BF-4715-9068-C7BEB6630EED} - System32\Tasks\Origin => C:\Users\Jakub\AppData\Roaming\Origin\update.vbe [2014-07-19] () Task: {96CD8A40-1972-4F74-B995-5910364D6092} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: C:\Windows\Tasks\4163a01d-f8ce-493c-a92a-0b69ebc73c32-1.job => C:\Program Files (x86)\TheTorntv V10\TheTorntv V10-codedownloader.exe Task: C:\Windows\Tasks\4163a01d-f8ce-493c-a92a-0b69ebc73c32-11.job => C:\Program Files (x86)\TheTorntv V10\4163a01d-f8ce-493c-a92a-0b69ebc73c32-11.exe Task: C:\Windows\Tasks\4163a01d-f8ce-493c-a92a-0b69ebc73c32-2.job => C:\Program Files (x86)\TheTorntv V10\4163a01d-f8ce-493c-a92a-0b69ebc73c32-2.exe Task: C:\Windows\Tasks\4163a01d-f8ce-493c-a92a-0b69ebc73c32-3.job => C:\Program Files (x86)\TheTorntv V10\4163a01d-f8ce-493c-a92a-0b69ebc73c32-3.exe Task: C:\Windows\Tasks\4163a01d-f8ce-493c-a92a-0b69ebc73c32-4.job => C:\Program Files (x86)\TheTorntv V10\4163a01d-f8ce-493c-a92a-0b69ebc73c32-4.exe Task: C:\Windows\Tasks\4163a01d-f8ce-493c-a92a-0b69ebc73c32-5.job => C:\Program Files (x86)\TheTorntv V10\4163a01d-f8ce-493c-a92a-0b69ebc73c32-5.exe Task: C:\Windows\Tasks\4163a01d-f8ce-493c-a92a-0b69ebc73c32-5_user.job => C:\Program Files (x86)\TheTorntv V10\4163a01d-f8ce-493c-a92a-0b69ebc73c32-5.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S2 TuneUp.UtilitiesSvc; "C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesService64.exe" [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X] C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\TheTorntv V10 C:\ProgramData\AVAST Software C:\Temp C:\Users\Jakub\AppData\Roaming\*.exe C:\Users\Jakub\AppData\Roaming\msconfig.ini C:\Users\Jakub\AppData\Roaming\Origin\update.vbe C:\Windows\SysWOW64\Application Services CMD: sc config wuauserv start= delayed-auto Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Instalacja AVG PC TuneUp 2014 wygląda na wyszczerbioną. Spróbuj program odinstalować w normalny sposób poprzez Panel sterowania. 3. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Przypominam: jako załączniki forum. .