picasso

Załaduj fixlist.txt do FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Tabs /t REG_SZ /d "res://ieframe.dll/tabswelcome.htm" /f RemoveDirectory: C:\AdwCleaner

Tylko, że YAC to także wątpliwy program: KLIK. Podtrzymuję: proszę dostarcz dane.

Tym razem wszystko poszło sprawnie. Teraz: Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner.

Sprawdź transfer dysku. Sprawa rozpisana w wątku Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

Większość operacji wykonana, ale był problem ze skasowaniem zadań z Hrmonogramu. Poprawki. Otwórz Notatnik i wklej w nim: Task: {C97C5433-76B4-4364-8E8F-3185484BE531} - System32\Tasks\RocketTab => C:\Windows\system32\cmd.exe [2010-11-21] (Microsoft Corporation) Task: {D6F03F95-BC4F-44AC-AEFD-96AD3A9FC9B7} - System32\Tasks\RocketTab Update Task => C:\Program Files (x86)\Search Extensions\uninstall.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {F15C06CF-4F8D-41EF-9E5B-1B4E492B98B2} - System32\Tasks\{188A75D0-A367-46C6-A784-9DBEE6A8FB84} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/en/go/help.faq.installer?source=lightinstaller&LastError=1618 C:\Program Files\Enigma Software Group C:\Program Files (x86)\GreenTree Applications C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\Happy2SAAVeo C:\ProgramData\ijacghhikfpcfmoeliihbaoohjbiiplj C:\ProgramData\NeewSavverr C:\ProgramData\RanidaoemPPrice C:\ProgramData\Trusted Publisher C:\Users\Tim\AppData\Local\Chromatic Browser C:\Users\Tim\AppData\Local\Comodo C:\Users\Tim\AppData\Local\Torch C:\Users\Tim\AppData\Roaming\OpenCandy C:\Users\Tim\AppData\Roaming\SendSpace Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy plik fixlog.txt. .

W tej sytuacji podejrzenia budzi ESET Smart Security - zresztą okropnie stary z roku 2009 i tak należy się go pozbyć. Odinstaluj go całkowicie, następnie przejdź w Tryb awaryjny i popraw narzędziem ESET Uninstaller. Podaj czy jest poprawa po usunięciu.

Wszystko wykonane i możemy kończyć. Usuń z Pobranych GMER oraz Pulpitu foldery FRST i Stare dane programu Firefox. Następnie zastosuj DelFix. To tyle.

Wg raportów w systemie nie było śladów infekcji. Wyłączanie antywirusa nie jest dowodem na obecność infekcji, a brak powiadomień Centrum może np. występować, gdy BitDefender nie jest integrowany z Centrum (błąd rejestracji WMI). Dla świętego spokoju możesz zrobić nowe logi z FRST (włącznie z Addition pokazującym rejestracje WMI w Centrum) i GMER. .

Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście BlueSprig Toolbar v9.7 > Dalej. Konto możesz oczywiście usunąć, jeśli nie jest potrzebne. .

Akcje pomyślnie wykonane. Kończymy: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] RemoveDirectory: C:\Windows\DB847E94446B49E0AC5DC5627EC8B0C0.TMP DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj systemowy Internet Explorer z wersji IE8 do IE11. .

Problem stanowi wpis "CMD" w starcie uruchamiający stronę "extendedunlimited.org". Prócz tego są inne odpadki adware. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-2008462518-3471571786-2155850046-1000\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit S2 248642b4; c:\Program Files (x86)\PC_Booster\AssistantSvc.dll [174928 2014-08-04] () [File not signed] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] CMD: type C:\Windows\System32\Tasks\RocketTab Task: {C97C5433-76B4-4364-8E8F-3185484BE531} - System32\Tasks\RocketTab => C:\Windows\system32\cmd.exe [2010-11-21] (Microsoft Corporation) Task: {D6F03F95-BC4F-44AC-AEFD-96AD3A9FC9B7} - System32\Tasks\RocketTab Update Task => C:\Program Files (x86)\Search Extensions\uninstall.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {F15C06CF-4F8D-41EF-9E5B-1B4E492B98B2} - System32\Tasks\{188A75D0-A367-46C6-A784-9DBEE6A8FB84} => Chrome.exe http://ui.skype.com/ui/0/6.11.0.102/en/go/help.faq.installer?source=lightinstaller&LastError=1618 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://astromenda.com/?f=1&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istart123.com/web/?type=ds&ts=1407110462&from=wpc&uid=HGSTXHTS545032A7E680_131018TM8B134T3Y6VTMX&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = SearchScopes: HKCU - DefaultScope {A9CBE41D-2036-4DE3-BECE-586D3C8D53C0} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://www.trovi.com/Results.aspx?gd=&ctid=CT3321537&octid=EB_ORIGINAL_CTID&ISID=M2B5B9ABB-3605-494C-823F-D03D06A4C54F&SearchSource=58&CUI=&UM=6&UP=SP09B49DD0-2C7A-41EE-A6A1-198E8A4C28B8&q={searchTerms}&SSPV= SearchScopes: HKCU - {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = https://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} SearchScopes: HKCU - {A9CBE41D-2036-4DE3-BECE-586D3C8D53C0} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_44_ch&cd=2XzuyEtN2Y1L1QzutA0CtDyByBtCyBtDtC0Azzzz0AtBzy0BtN0D0Tzu0StCtDtAtBtN1L2XzutAtFyDtFtCtFyEtN1L1CzutCyEtBzytDyD1V1StN1L1G1B1V1N2Y1L1Qzu2StAzzzyyCyE0DzztBtGtAyD0FyDtGyD0AzyyDtGyCyCzztBtGyD0AyD0D0E0F0EyByB0B0Dzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAtC0Ezz0Fzz0BtDtGyE0AtA0CtGyEzy0E0BtGzy0Dzy0AtG0ByE0AyDyCyB0FzzyB0B0Dzy2Q&cr=151942868&ir= FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File CHR StartMenuInternet: Google Chrome - chrome.exe C:\Program Files (x86)\CoupExteinsioN C:\Program Files (x86)\NextCoup C:\Program Files (x86)\PC_Booster C:\ProgramData\.windows.sys C:\ProgramData\71c2c357dfa911ca C:\ProgramData\APN C:\ProgramData\CoupExteinsioN C:\ProgramData\GoSaave C:\ProgramData\NextCoup C:\ProgramData\PriCeCHoopo C:\ProgramData\TakkeTHeCouPon C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\msdownld.tmp C:\Windows\SysWOW64\setup.exe RemoveDirectory: C:\Users\Tim\Desktop\FRST-OlderVersion Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BRS" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{248642b4} /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Tim\AppData\Local CMD: dir /a C:\Users\Tim\AppData\LocalLow CMD: dir /a C:\Users\Tim\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Owszem, adware jest w systemie: rozszerzenie "PodoWeb" w Firefox oraz usługa "maintainer.exe". Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-11-02] () C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\Program Files (x86)\Temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany) i ten log z MBAM pokazujący co wcześniej było usuwane. Wypowiedz się czy widzisz pozytywne zmiany w systemie. .

W systemie działa infekcja, w starcie uruchamia się podrobiony "Flash Player" (fffplayer32.exe), a obiekt wygląda na załadowany z jakiś lewych paczek do Tibia. Prócz tego są też różne obiekty adware. A system wygląda na nieoryginalny i scrackowany via "KMSpico" - nie jest wykluczone, że usługa "Service KMSELDI" jest problematyczna i będzie usuwana. Przeprowadź następujące działania: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware BlueSprig Toolbar v9.7. Pozbądź się także wszystkich dodatków do Tibia ostatnio pobieranych. - Jeśli chodzi o niemożliwy do odinstalowania AVG, spróbuj AVG Remover. Program zastosuj z poziomu Trybu awaryjnego Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Adobe Gamma Colors] => C:\Program Files\Common Files\Flash Player\fffplayer32.exe [2763838 2014-05-11] (CipSoft GmbH) S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe [974016 2014-03-02] () [File not signed] Task: {639CC502-F377-4F41-96AF-118E0E1AD569} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {8CC26BBF-7820-475B-91DC-2BDFFDB5BDA6} - System32\Tasks\SW_Booster-S-1467139175 => c:\programdata\rightapp software\sw_booster\SW_Booster.exe Task: C:\Windows\Tasks\SW_Booster-S-1467139175.job => c:\programdata\rightapp software\sw_booster\SW_Booster.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\wtu-secure-search.xml HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120140911 SearchScopes: HKCU - {170F9CDF-2C69-456A-8202-9A8D3B5EC17E} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=925777&p={searchTerms} BHO: No Name -> {6EA0EA94-709E-DEAE-4EE4-3680D16DD2A8} -> No File C:\Program Files\Common Files\Flash Player C:\Program Files (x86)\BlueSprig Toolbar C:\Program Files (x86)\Temp C:\Program Files\KMSpico C:\ProgramData\MFAData C:\ProgramData\TEMP C:\Users\Konrad\OSBuddy C:\Users\Konrad\AppData\Roaming\BlueSprig C:\Users\Konrad\AppData\Roaming\rmi C:\Users\Konrad\Downloads\*(*)-dp*.exe C:\Users\Konrad\Downloads\ipchanger.exe C:\Users\Konrad\Downloads\OSBuddy*.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Przeglądarka Google Chrome jest zaśmiecona adware, ale dodatkowo została przekonwertowana przez adware z wersji stabilnej do development. Wymagana kompletna reinstalacja: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus i MEGA) trzeba będzie przeinstalować. 5. W systemie są dwa konta: ========================= Accounts: ========================== Ewa (S-1-5-21-3503546630-2230702639-2809708747-1001 - Administrator - Enabled) => C:\Users\Ewa Konrad (S-1-5-21-3503546630-2230702639-2809708747-1000 - Administrator - Enabled) => C:\Users\Konrad Dostarczone zostały logi z konta Konrad, potrzebne logi FRST z obu kont. Po kolei zaloguj się na każde z nim poprzez pełny restart omputea (a nie opcję Wyloguj czy Przełącz użytkownika) i i zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały po dwa logi na każdym koncie. Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Wypowiedz się czy jest jakaś poprawa. .

Czy po wykonaniu operacji nastąpiła poprawa? Poprawki: 1. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj FromDocToPDF (powiązany z ask.com). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Users\Tomek\AppData\Roaming\*.ex* C:\Users\Tomek\Downloads\setup.exe RemoveDirectory: C:\FRST\Quarantine EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Dostarcz wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log wynikowy z foderu C:\AdwCleaner. .

Czy problem reklam nadal występuje? Wszystko wykonane pomyślnie. Drobniutka porawka - otwórz Notatnik i wklej w nim: HKU\S-1-5-21-515967899-1958367476-725345543-1007\...\Run: [CW] => [X] RemoveDirectory: C:\AdwCleaner DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowyfixlog.txt.

Na zakończenie usuń używane narzędzia za pomocą DelFix, wyczyść foldery Przywracania systemu i porównaj co wymaga aktualizacji: KLIK.

Fix został pomyślnie wykonany. - Na koncie "4" nic już nie widać do usuwania. - Na koncie "siwek" w Firefox w rozszerzeniach odinstaluj HomeTab. Czy problem nadal występuje po przeprowadzonym usuwaniu? Trzecim kontem jest wbudowany w system Administrator, konto jest włączone. Prawdopodobnie aktywowałeś je podczas wchodzenia w Tryb awaryjny, gdyż konto to pokazuje się tylko na ekranie awaryjnego (o ile nie ma żadnych innych lokalnych administratorów). Logi z Administratora sobie darujmy. .

Problem tworzy wpis "CMD" w starcie kierujący do otwierania strony "extendedunlimited.org". Przeprowadź następujące działania: 1. Na początek jednak odinstaluj via Panel sterowania wątpliwy program SpyHunter. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1007308674-706615955-2750518701-1000\...\Run: [CMD] => cmd.exe /c start http://extendedunlimited.org && exit HKLM-x32\...\Run: [] => [X] StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Proszę dostosuj się do zasad działu: KLIK. OTL to narzędzie przestarzałe i logi sprawdzane tylko jak krok dodatkowy. Uzupełnij obowiązkowe logi z FRST.

W raportach FRST widać podejrzane zadania Harmonogramu "InfiniteCrisis" kierujące do iexplore.exe i to jedyne co można powiązać. I jeszcze plik HOSTS ma podejrzane atrybuty (jest ukryty, a jego zawartość odpowiada systemowi Vista a nie XP). Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\InfiniteCrisis TW1.job => C:\Program Files\Internet Explorer\iexplore.exe Task: C:\WINDOWS\Tasks\InfiniteCrisis TW2.job => C:\Program Files\Internet Explorer\iexplore.exe BootExecute: 콈м괵粑 S3 dgderdrv; System32\drivers\dgderdrv.sys [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Documents and Settings\All Users\Pulpit\Free Offers.lnk C:\Documents and Settings\4\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\4\Dane aplikacji\Elex-tech C:\Documents and Settings\4\Dane aplikacji\GameOff C:\Documents and Settings\4\Dane aplikacji\InfiniteCrisis486 C:\Documents and Settings\4\Menu Start\Programy\InfiniteCrisis C:\Documents and Settings\4\Pulpit\Nieużywane skróty pulpitu\Free Offers.lnk C:\Documents and Settings\4\Pulpit\Nieużywane skróty pulpitu\Samsung Kies.lnk C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\com C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\CRE C:\Documents and Settings\4\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ICSharpCode.net Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlashGet 3" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesAirMessage" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPreload" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mbot_pl_10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W systemie są aż 3 czynne konta: ========================= Accounts: ========================== 4 (S-1-5-21-776561741-706699826-682003330-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\4 Administrator (S-1-5-21-776561741-706699826-682003330-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator siwek (S-1-5-21-776561741-706699826-682003330-1008 - Limited - Enabled) => %SystemDrive%\Documents and Settings\siwek Wymagane logi FRST z każdego z osobna. Zaloguj się po kolei na każde poprzez pełny reset komputera (nie przez Wyloguj lub Przełącz użytkownika) i zrób nowy log FRST (bez Addition i Shortcut). Dorzuć też zaległy GMER oraz plik fixlog.txt. .

Fix wykonany. Tak jak w poprzednim temacie, skasuj ręcznie pobrany GMER i zastosuj DelFix.

Pokaż zrzut ekranu. Opis sugeruje, że sprawdzasz nie ten plik co trzeba. Mnie nie chodzi o sprawdzanie właściwości pliku C:\Program Files\Internet Explorer\iexplore.exe, lecz o plik C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk.

Fix wykonany. Czy na pewno sprawdzasz drugą kartę Skrót a nie pierwszą Ogólne? .

Podaj mi jszcze skan SFC. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. .

Nie to miałam na myśli. Ja mówiłam, iż widać, że przeglądarką z której korzystasz jest Opera (bo jest uruchomiona w procesach), ale nie widać jej konfiguracji, gdyż FRST i OTL po prostu nie skanują jej traktując jako wyrób niszowy. "Wypowiedz się czy są jakieś zmiany." Poprzednie zadania wykonane, choć problem niesygnowanych plików jest nadal i będę rozważać potem o co tu chodzi. Drobne poprawki: 1. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\lupus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Tabs /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v newtab /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .