picasso

GMER nie możesz dołączyć, bo zamiast zapisać nowy plik opcją Kopiuj + wklejenie do Notatnika, jak wskazuje instrukcja, użyłeś opcji bezpośredniego zapisu raportu. Ta opcja tworzy plik o rozszerzeniu *.LOG a nie *.TXT, zabroniony w załącznikach. Na przyszłość: ręczna zmiana nazwy pliku lub zapis do nowego pliku w Notatniku. W systemie ewidentnie aktywne adware, przy czym lista sterowników wstawionych przez adware ogłuszająca... Próbowałeś się ratować instalując wątpliwy program SpyHunter - z daleka od tego reklamiarza. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) R2 Update AdvanceElite; C:\Program Files (x86)\AdvanceElite\updateAdvanceElite.exe [524016 2014-10-22] () R2 Update Framed Display; C:\Program Files (x86)\Framed Display\updateFramedDisplay.exe [524024 2014-10-23] () R2 Util AdvanceElite; C:\Program Files (x86)\AdvanceElite\bin\utilAdvanceElite.exe [523504 2014-10-23] () R2 Util Framed Display; C:\Program Files (x86)\Framed Display\bin\utilFramedDisplay.exe [524024 2014-10-23] () R1 {00aec75d-051f-41a9-9837-e94ac4f56303}Gw64; C:\Windows\System32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys [48784 2014-10-15] (StdLib) R1 {02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64; C:\Windows\System32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys [48784 2014-10-17] (StdLib) R1 {1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64; C:\Windows\System32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys [48784 2014-10-13] (StdLib) R1 {3b808196-ff63-49ee-b33b-efdf51723eca}Gw64; C:\Windows\System32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys [48784 2014-10-13] (StdLib) R1 {3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64; C:\Windows\System32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys [48784 2014-10-18] (StdLib) R1 {4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64; C:\Windows\System32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys [48784 2014-10-14] (StdLib) R1 {4530e639-76ab-4435-889d-a5e81ae090a4}Gw64; C:\Windows\System32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys [48784 2014-10-20] (StdLib) R1 {46a147d8-5171-42d8-b8a8-6a187525781d}Gw64; C:\Windows\System32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys [48784 2014-10-15] (StdLib) R1 {5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64; C:\Windows\System32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys [48784 2014-10-17] (StdLib) R1 {67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64; C:\Windows\System32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys [48784 2014-10-20] (StdLib) R1 {6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}Gw64; C:\Windows\System32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}Gw64.sys [48784 2014-10-19] (StdLib) R1 {7012eec1-4f37-42d4-a2cd-26727494d248}Gw64; C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys [48792 2014-10-13] (StdLib) R1 {733fb217-c049-41ba-9504-3f2045e61977}Gw64; C:\Windows\System32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys [48784 2014-10-21] (StdLib) R1 {949aba83-1d7f-4d0b-b0ba-203450825231}Gw64; C:\Windows\System32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys [48784 2014-10-16] (StdLib) R1 {a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64; C:\Windows\System32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys [48792 2014-10-22] (StdLib) R1 {dc592624-f532-4311-9fc7-6920126fc404}Gw64; C:\Windows\System32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys [48784 2014-10-22] (StdLib) R1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys [48784 2014-10-22] (StdLib) R1 {fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64; C:\Windows\System32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys [48784 2014-10-18] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141013 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141013 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1413218903&from=cor&uid=ST3160815A_9RA8BQE2XXXX9RA8BQE2&q={searchTerms} BHO-x32: Framed Display -> {05b5ef3f-4c6a-426e-b77e-48ebb3e721f1} -> C:\Program Files (x86)\Framed Display\FramedDisplaybho.dll (Framed Display) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: AdvanceElite -> {3b2cb4c8-72ab-4b25-8fa1-219b36a60bed} -> C:\Program Files (x86)\AdvanceElite\AdvanceElitebho.dll (AdvanceElite) Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\Program Files\Enigma Software Group C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\SupTab C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter C:\Users\Bartek\AppData\Roaming\SupTab C:\Users\Bartek\AppData\Roaming\Systweak C:\Users\Bartek\Documents\Optimizer Pro C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys C:\Windows\System32\drivers\{02bbe9df-d3b0-43f4-8dcb-e24500d3308f}Gw64.sys C:\Windows\System32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys C:\Windows\System32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys C:\Windows\System32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys C:\Windows\System32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys C:\Windows\System32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys C:\Windows\System32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys C:\Windows\System32\drivers\{5d78e0ee-ca60-46a4-9492-4f24429cc925}Gw64.sys C:\Windows\System32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys C:\Windows\System32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}Gw64.sys C:\Windows\System32\drivers\{7012eec1-4f37-42d4-a2cd-26727494d248}Gw64.sys C:\Windows\System32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys C:\Windows\System32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys C:\Windows\System32\drivers\{a6762132-8e80-4305-b1ba-2bec91757ac2}Gw64.sys C:\Windows\System32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys C:\Windows\System32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys Folder: C:\Users\Bartek\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Bartek\AppData\Roaming\Opera Software\Opera Stable\Preferences" Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware AdvanceElite, Framed Display, sweet-page uninstall oraz stare dziurawe wersje Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj AdvanceElite, Framed Display (o ile nadal będą po w/w deinstalacjach) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. .

Co do mulenia: czy sprawdzałeś transfer dysku? I popatrz do pliku Fixlog - nic nie wkleiłeś, plik jest pusty i zupełnie nic nie wykonane. Proszę zrób nowy porządny plik Fixlist w Notatniku i powtórz punkty 3-5.

Logi z OTL (usuwam) są za duże, gdyż są źle skonfigurowane. Pliki zmodyfikowane / utworzone w przeciągu ustawiłeś na Wszystkie, a miało być Młodsze niż. Poza tym, tu prócz OTL są obowiązkowe także logi z FRST i GMER. Wróć do instrukcji robienia raportów i dostarcz wszystkie wymagane raporty: KLIK.

Te pliki zostały omyłkowo usunięte z Pulpitu i Pobranych, ponieważ ich nazwy spełniają warunki maski usuwającej (podobna konstrukcja).... - Jeśli jeszcze nie wyczyściłeś folderów Przywracania systemu, za pomocą Shadow Explorer (portable) wyszukaj wcześniejszą wersję folderów Pulpit i Pobrane i sprawdź czy są w nich pliki. Jeśli są, z prawokliku opcja Export, by je przekopiować. - Jeśli już tak, sprawdź czy te pliki odnajdzie Recuva Portable. Oba programy pobierz i uruchom z innego dysku niż C. Obecnie przy odzyskiwaniu im mniej zapisów na C, tym większa szansa odzysku.

Co Ty właścwie próbowałeś instalować? Przecież podałam wyraźnie, że masz pobrać wersję portable - to paczka zip, rozpakowujesz i od razu uruchamiasz program, nie ma żadnej instalacji ... W podanym przeze mnie linku jest: Latest Version: ShadowExplorer 0.9 Installer (exe) - Portable (zip) Wersja "Installer" Cię nie interesuje, klikasz na "Portable"...

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj produkty Adobe + Java: KLIK. Temat rozwiązany. Zamykam.

Fix wykonany. Natomiast: Zawartość katalogu odpowiada temu odczytowi z FRST: CHR Extension: ( Youtube Downloader) - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgmhglgmgjgainopbegbdenjppcmjcpj [2014-06-16] CHR Extension: (YouTube) - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2012-05-06] CHR Extension: (Szukaj w Google) - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2012-05-06] CHR Extension: (Google Wallet) - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-23] CHR Extension: (Gmail) - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2012-05-06] Wszystkie z wyjątkiem pierwszego są wbudowane w Google Chrome i mimo że są zainstalowane, nie widać ich w Rozszerzeniach. Tych nie ruszasz. Natomiast skasuj tego gagatka: C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgmhglgmgjgainopbegbdenjppcmjcpj .

Załącznik ma numer ID zgodny z sekwencją reszty logów pierwszego zestawu, więc na stówę w oczach mi się mieniło. Fix wykonany, więc możesz wykonać brakujące działania końcowe (DelFix + czyszczenie folderów Przywracania systemu).

Potwierdzam wykonanie DelFix. Możesz skasować plik C:\DelFix.txt. Oczywiście prefs.js z Pulpitu do śmieci. Temat rozwiązany. Zamykam.

Nowe logi FRST nie były potrzebne (usuwam), gdyż w nich już brak zmian, tylko plik Fixlog. Wszystko wykonane i kończymy: 1. Skasuj ręcznie pobrany GMER. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść wszystkie punkty Przywracania systemu i zrób ręcznie nowy punkt z bieżącej dobrej sytuacji: KLIK. 3. Możesz przywrócić COMODO lub co tam wybierzesz. Jeśli zaś chodzi o to: Do wglądu ten artykuł: KLIK. Podsuń bratu. Dzięki!

Hmmm, nie wiem co się stało, ale wyraźnie szkody większe i brakuje mnóstwa domyślnych skrótów Windows (plus kilku skrótów niedomyślnych programów, ale to bez znaczenia). Przesyłam domyślne elementy z systemu Windows 7. Wszystko z tej paczki wstaw sobie do ścieżki: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programy Pozostałe czynności końcowe już podałam.

Tak, jest w systemie aktywne adware, niejaki "Term Tutor". Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware Term Tutor. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM-x32\...\Run: [fst_de_6] => [X] HKU\S-1-5-21-857324733-421609195-1616938436-1000\...\Run: [DT Emphelungstool] => "C:\Users\tad\AppData\Local\Deutsche Telekom\Empfehlungstool\DTEmpfehlungstool.exe" 2 HKU\S-1-5-21-857324733-421609195-1616938436-1000\...\Run: [browser Extensions] => "C:\Users\tad\AppData\Roaming\Browser Extensions\CouponsHelper.exe" HKU\S-1-5-21-857324733-421609195-1616938436-1000\...\RunOnce: [Application Restart #0] => C:\Users\tad\AppData\Local\Pokki\Engine\pokki.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-client-side-ph (the data entry has 536 more characters). ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => No File BootExecute: autocheck autochk * aswBoot.exe /M:c9928bd19 /wow /dir:"C:\Program Files\AVAST Software\Avast" HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/pl-pl/?pc=UP97&ocid=UP97DHP HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - 8AEC04ACA3824DEE976FC1DCC4A23F9A URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=394&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=0541516913024078&q={searchTerms} SearchScopes: HKCU - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKCU - {F07D5355-9070-41C4-8836-0BD632C940B4} URL = http://speedial.com/results.php?f=4&q={searchTerms}&a=spd_ir_14_19_ff&cd=2XzuyEtN2Y1L1QzutBtBtBtAyE0D0AtA0D0DyBtBtBtA0AyCtN0D0Tzu0SzzyDzytN1L2XzutBtFtBtDtFzytFtCtN1L1CzutCyEtDtAtDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2SyB0ByDyEtD0Ezy0BtGtB0AtCzytGyE0AtC0BtG0DyCtAyEtGtDyE0AtDzyyBtBzy0D0C0Czz2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0A0EtAzyyDtC0CtG0AtDyBzytG0DyB0FyDtGzzzy0FyBtGtByB0DtC0CzztC0AtCyCtA0D2Q&cr=717292320&ir= FF HKLM-x32\...\Firefox\Extensions: [termtutor@termtutor.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\termtutor@termtutor.com CHR HomePage: Default -> hxxp://de.search.yahoo.com/?type=937811&fr=spigot-yhp-ch CHR StartupUrls: Default -> "hxxp://de.search.yahoo.com/?type=937811&fr=spigot-yhp-ch", "hxxp://www.msn.com/?pc=AV01" CHR Extension: (Bing) - C:\Users\tad\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2014-10-22] CHR HKCU\SOFTWARE\Policies\Google: Policy restriction CustomCLSID: HKU\S-1-5-21-857324733-421609195-1616938436-1000_Classes\CLSID\{A75BE48D-BF58-4A8B-B96C-F9A09DFB9844}\InprocServer32 -> %LOCALAPPDATA%\Pokki\ocdeskband_0.dll No File Task: {26BDA604-7D75-469E-8B6C-19420BBA6C5B} - System32\Tasks\{D1214508-7F77-4F52-8DD4-FBC620886435} => Firefox.exe http://ui.skype.com/ui/0/6.5.0.158/pl/abandoninstall?page=tsProgressBar Task: {2C9FB589-871A-4321-9723-2D616F1100D2} - \923e656c-7931-4c44-9b19-6d3c00ebfbd9-3 No Task File Task: {6684E26F-2B34-4350-A34A-6B2E1977F333} - \923e656c-7931-4c44-9b19-6d3c00ebfbd9-5 No Task File Task: {753E7B92-960F-4FE9-82DE-569F469733EE} - \14ecb001-f416-4a5e-b100-cc6e315349af-3 No Task File Task: {93EDAA36-0293-4848-8554-BA3951F1F773} - System32\Tasks\{FE028F2A-ACC2-43B6-8243-869ABE596ED4} => Firefox.exe http://ui.skype.com/ui/0/6.21.80.104/pl/abandoninstall?page=tsMain Task: {B246DCC5-F005-4E1A-8F69-74508A4140B0} - \14ecb001-f416-4a5e-b100-cc6e315349af-5 No Task File C:\Program Files\TermTutor C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\TermTutor C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dragons of Atlantis.lnk C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pirate Storm.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\ProgramData\TEMP C:\Users\Public\AlexaNSISPlugin.4516.dll C:\Users\Public\Desktop\YTD Video Downloader.lnk C:\Users\tad\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\tad\AppData\Roaming\GoldenGate C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\tad\Desktop\Continue Download Manager 2 Installation.lnk C:\Users\tad\Downloads\Adblock Plus 1.1*.exe C:\Users\tad\Downloads\AdwCleaner*.exe C:\Users\tad\Downloads\IDM2*.exe C:\Windows\System32\drivers\ttnfd.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Image Editor Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\tad\AppData\Local CMD: dir /a C:\Users\tad\AppData\LocalLow CMD: dir /a C:\Users\tad\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\tad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Wyczyść przeglądarki, procesy nie naruszą zakładek i haseł: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). .

Finalizujemy sprawy: 1. Skasuj z Pulpitu foldery Aanaliza + Stare dane programu Firefox. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. I zaktualizuj wersję Java 7 Update 55.

Temat przenoszę, na razie do działu Windows, być może i do Sieci potem przejdzie. Brak oznak infekcji. Do usunięcia tylko puste / szczątkowe wpisy, ale to nie ma żadnego znaczenia pod kątem problemów. W spoilerze te drobnostki. O jakich błędach mowa? Jeśli chodzi o spowolnienie, to wstępnie do wdrożenia klasyczne procedury: 1. Deinstalacja zbędnego oprogramowania zintegrowanego z ACER, co utnie kilka procesów. Jeśli z czegoś korzystasz = omiń. ==================== Installed Programs ====================== Acer Registration (Version: 1.04.3506 - Acer Incorporated) Acer ScreenSaver (Version: 20.11.1107.0952 - Acer Incorporated) Acer Updater (Version: 1.02.3501 - Acer Incorporated) Acer VCM (Version: 4.05.3501 - Acer Incorporated) ----> http://acer-au.custhelp.com/app/answers/detail/a_id/3178/~/what-is-the-acer-vcm-software-and-what-does-it-do%3F eBay Worldwide (Version: 2.2.0409 - OEM) MyWinLocker Suite (Version: 4.0.14.19 - Egis Technology Inc.) ----> http://us.acer.com/ac/en/US/content/mywinlocker Norton Online Backup (Version: 2.1.17869 - Symantec Corporation) Welcome Center (Version: 1.02.3507 - Acer Incorporated) Windows Live Essentials (Version: 15.4.3538.0513 - Microsoft Corporation) 2. Test z czystym rozruchem: KLIK. 3. Przy braku rezultatów testowa deinstalacja Avast, by się upewnić, iż nie tworzy problemów. .

jaroasta, do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Napisałeś kilka w serii. Wszystkie skleiłam. Jak już zostało powiedziane dwukrotnie wcześniej, wszystko jest w porządku, to nie są wirusy tylko głównie obiekty systemowe. Precyzując dokładniej: Pliki desktop.ini już omówiłam. Pliki thumbs.db to pliki buforowania miniatur. Można je usuwać, ale i tak mogą się odtworzyć. Folder $Recycle.Bin to folder Kosza, prawdziwy. To co jest na Pulpicie to tylko wirtualny skrót. Każdy dysk ma swój własny folder Kosza. Folder Boot (krytyczny) jest niezbędny, by system w ogóle się uruchamiał. Folder ProgramData jest związany z konfiguracją programów Microsoftu oraz innych instalowanych w systemie. Folder System Volume Information (krytyczny) jest związany z systemowym cieniowaniem woluminu i m.in. Przywracaniem systemu. Folder jest powielony na każdym dostępnym dysku. Folder UserGuidePDF nie jest składnikiem systemu, dodał go jakiś program. Z wyjątkiem plików thumbs.db i UserGuidePDF, nie wolno naruszyć tych komponentów, to oznaczałoby uszkodzenie systemu. Czasem robi się usuwanie Kosza metodą bezpośredniego usuwania folderu $Recycle.Bin (system i tak go zregeneruje od nowa), ale to służy przypadkom uszkodzenia Kosza. W normalnych okolicznościach z Koszem działa się via Pulpit. Rozumiem, iż w Opcjach folderów zaznaczyłeś Ukryj chronione pliki systemu operacyjnego. To jest domyślna konfiguracja, tych obiektów nie powinno być widać, by właśnie nikt nie uszkodził czegoś. Zostaw tę opcję w takim stanie i nic już nie grzeb. .

Uszkodzenia rejestru to pochodna innych mechanizmów niż infekcje, choć czasami mogą one sprzyjać temu. Temat przenoszę i to do działu Hardware, ponieważ w Dzienniku zdarzeń są powiadomienia na temat bad sectorów jednego z dysków (co jak najbardziej wyjaśniałoby pierwotne zamulenie oraz wywalenie rejestru): System errors: ============= Error: (10/20/2014 07:42:58 PM) (Source: disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk1\DR1 wystąpił zły blok. Jest tu więcej niż jeden dysk twardy, więc precyzyjna identyfikacja czym jest \Device\Harddisk1\DR1 na podstawie tego tematu: KLIK. ==================== MBR & Partition Table ================== Disk: 0 (Size: 111.8 GB) (Disk ID: CA10CA10) Partition 1: (Not Active) - (Size=111.8 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (MBR Code: Windows 7 or Vista) (Size: 233.8 GB) (Disk ID: B9E6B9E6) Partition 1: (Active) - (Size=119.3 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=114.5 GB) - (Type=07 NTFS) ======================================================== Disk: 2 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: 5673630D) Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS) ======================================================== Disk: 3 (MBR Code: Windows 7 or Vista) (Size: 465.8 GB) (Disk ID: 5673630C) Partition 1: (Not Active) - (Size=465.8 GB) - (Type=07 NTFS) I dostarcz materiały sprzętowe: KLIK.

Przeglądnij ten materiał: KLIK. Fix do FRST uruchamiałeś dwa razy, nie należy tego robić, bo skrypt jest jednorazowego użytku i nie przetworzy ponownie już usuniętych wpisów (co tu zaistniało). Czy był jakiś błąd w FRST? Poza tym zawirowaniem wszystko wykonane pomyślnie. Kończymy: 1. Skasuj pobrany GMER oraz z Pulpitu folder Stare dane programu Firefox. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Skoro wszystko już dobrze, to o ile nie wykonałaś już samodzielnie kroków końcowych, do wdrożenia zastosowanie DelFix, czyszczenie folderów Przywracania systemu i porównanie co obecnie wymaga aktualizacji: KLIK. Temat rozwiązany. Zamykam.

Brakuje pliku fixlog.txt powstałego podczas uruchamiania skryptu. Dostarcz. Nie powtarzaj przypadkiem tego skryptu, masz podać log już utworzony na dysku.

Dzięki za plik prefs.js, pobrałam więc link usuwam. Zadane operacje pomyślnie wykonane. Zostały już tylko czynności końcowe, ale przed tym należy wyjaśnić: Czy klawisz przyciskasz dostatecznie szybko (już na ekranie BIOS-podobnym) i sekwencyjnie (nie tylko raz)? Czy na pewno ten komputer nie ma wyasygnowanego innego klawisza funkcyjnego wchodzenia do awaryjnego? .

Temat przenoszę do działu Windows. Brak oznak infekcji. Rozpocznij od deinstalacji zbędnych ASUSowych integracji (tych z których nie korzystasz), w tym starego Nortona (najsilniejszy podejrzany dla wydłużania startu): ==================== Installed Programs ====================== ASUS Data Security Manager (Version: 1.00.0011 - ASUS) ----> asusowy szyfrator danych ASUS FancyStart (Version: 1.0.4 - ASUSTeK Computer Inc.) ----> wymiana grafiki ekranu bootowania ASUS LifeFrame3 (Version: 3.0.19 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (Version: 2.5.7 - ASUS) ----> autoaktualizacja sterowników/BIOS ASUS MultiFrame (Version: 1.0.0018 - ) ----> system dzielenia okien ASUS Power4Gear Hybrid (Version: 1.1.13 - ASUS) ----> tweaker zasilania ASUS SmartLogon (Version: 1.0.0006 - ASUS) ----> logowanie do komputera za pomocą rozpoznawania twarzy ASUS Splendid Video Enhancement Technology (Version: 1.02.0025 - ASUS) ----> asusowe "poprawianie" jakości obrazu ASUS Virtual Camera (Version: 1.0.14 - asus) ----> dostęp więcej niż jednej aplikacji równolegle do kamery Asus_Camera_ScreenSaver (Version: 2.0.0008 - ASUS)) Norton Internet Security (Version: 16.8.3.6 - Symantec Corporation) Po deinstalacjach zdaj relację czy jest jakaś poprawa. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Wprawdzie są rozmaite szczątki adware, ale to nieaktywne odpadki i nie mogą być przyczyną problemu. W spoilerze doczyszczanie tych śmieci. 1. Jeśli rozpatrzymy sprawę pod kątem software nie podejrzewając jeszcze sprzętu, rzuca się w oczy niestety oprogramowanie zabezpieczające, czyli Kaspersky Anti-Virus 2013. Oprogramowanie rozgałęzione i ingerencyjne, na forum niejednokrotnie występowało w takich kontekstach (podobnie zresztą jak inne antywirusy). Wstępnie wyłącz wszystkie osłony i sprawdź czy jest notowana poprawa, choć test nie jest do końca wiarygodny. Pewniejsza jest testowa deinstalacja odcinająca wszystkie czynności. 2. Druga sprawa to brak jakichkolwiek aktualizacji, łysy Windows 7 bez SP1 + IE11 i reszty łat: Platform: Windows 7 Ultimate (X64) OS Language: Angielski (Stany Zjednoczone) Internet Explorer Version 8 Toteż kolejny krok to wykonanie pełnej aktualizacji systemu. Może być ona nie bez znaczenia. .

No cóż, stawiany nowy system, niestety podczas owej "instalacji kilku podstawowych aplikacji" wdarło się adware. Było jakieś czyszczenie wdrażane, bo adware w szczątkach, choć jest nadal uruchomiona usługa protekcyjna IePluginServices. Aczkolwiek ja wątpię, by to była podstawowa przyczyna zamulenia, zwracają tu uwagę rzeczy ciężeszgo kalibru: mocarna instalacja Avast Internet Security oraz ślady obniżenia transferu dysku. Wstępnie przeprowadź następujące działania: 1. W Dzienniku zdarzeń są błędy charakterystyczne dla obniżenia transferu dysku: System errors: ============= Error: (10/22/2014 08:55:06 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort2 Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj adware AdvanceElite. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 IePluginServices; D:\Documents and Settings\All Users\Dane aplikacji\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED) CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1413914318&from=cor&uid=HitachiXHTS541612J9SA00_SB2D41E4D1LXYED1LXYEX HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413914318&from=cor&uid=HitachiXHTS541612J9SA00_SB2D41E4D1LXYED1LXYEX&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413914318&from=cor&uid=HitachiXHTS541612J9SA00_SB2D41E4D1LXYED1LXYEX&q={searchTerms} ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File D:\Documents and Settings\All Users\Dane aplikacji\IePluginServices D:\Documents and Settings\All Users\Dane aplikacji\Norton D:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller D:\Documents and Settings\aneta\Dane aplikacji\sweet-page D:\Program Files\AdvanceElite D:\Program Files\GUT8B.tmp D:\Program Files\GUM8A.tmp D:\Program Files\SupTab D:\WINDOWS\SET*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się na czym stoimy. .

Proszę przeczytaj zasady działu, przecież dostarczony niekompletny zestaw obowiązkowych logów. Brak obowiązkowych raportów z FRST i GMER, OTL też niecały (brak pliku Extras). Uzupełnij. Na temat używania ComboFix KLIK. I skoro już go uruchamiałeś, to przedstaw plik C:\ComboFix.txt utworzony wtedy przez narzędzie. Nie uruchamiaj ComboFix ponownie, chodzi o wcześniejszy log.

Zablokowany menedżer zadań i regedit oraz uszkodzony Tryb awaryjny to również sprawka Sality. Niestety wirus Sality jest okropną infekcją, atakuje wszystkie pliki wykonywalne (systemowe / zainstalowane programy / pobrane instalki) na wszystkich dostępnych dyskach. Zwykle infekcja kończy się formatem dysku. Czyszczenie spod zainfekowanego systemu jest mało skuteczne, a nawet jeśli uda się, skutkiem ubocznym mogą być uszkodzenia plików nienaprawialne inaczej niż poprzez reinstalację czegoś, o trudnym do wykrycia zakresie. I tak sugerowany format. Na dokładkę tu system zainfekowany dodatkowymi rzeczami: keylogger do Tibia (z co dopiero doinstalowanych trefnych dodatków do Tibia) i adware. Całość "chroniona" przestarzałym ESET prującym na silniku z 2009. Ponadto, log sugeruje, że system był co dopiero reinstalowany. Czy tak? I ja w takiej sytuacji sugeruję po prostu ponowny format, ale z tego dysku nie wolno skopiować żadnych plików wykonywalnych (instalek programów czy sterowników), po formacie wystarczy jeden zainfekowany plik i wszystko rozpocznie się od nowa. Jeśli jednak zdecydujesz się na czyszczenie, to podam oczywiście stosowne kroki, ale trzeba brać pod uwagę zasadność roboty. Tu szybciej pójdzie ponowny format, a wyniki końcowe będą znacznie lepsze. .