picasso

Na początek podaj mi dokładną wersję Google Chrome, ponieważ jeśli adware przekonwertowało przeglądarkę ze stabilnej na typ dev-m (czyli "development") odblokowujący instalację adware, czyszczenie będzie wyglądać całkiem inaczej, tzn. reinstalacja Chrome a nie patyczkowanie się. W Chrome w pasku adresów wklej chrome://version i przeklej linię podającą wersję.

adrenalina, proszę o cierpliwość, nie podbijaj mi tematów (o czym prawią zasady działu!). Przetwarzam temat, gdy jestem w stanie (mam czas i jestem na forum), a jest dużo osób potrzebujących. Skrypt pomyślnie wykonany. W raportach brak podejrzanych rzeczy. Nie podałeś czy przeprowadziłeś test online na router i jaki był jego wynik. Czy sterowniki do karty sieciowej są aktualne? Nic nie usuwałam związanego z tymi programami, a wg ostatniego raportu FRST oba się uruchamiają przy starcie, czyli i powiązane ikony powinny się ujawnić w obszarze powiadomień: HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [13213840 2012-10-26] (Realtek Semiconductor) HKLM-x32\...\Run: [AVG_UI] => C:\Program Files (x86)\AVG\AVG2015\avgui.exe [3593744 2014-09-05] (AVG Technologies CZ, s.r.o.) Czy na pewno ten efekt występuje po ponownym uruchomieniu komputera? .

Brak poprawy, bo mimo że proxy było usuwane: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable => value deleted successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer => value deleted successfully. ... ono zostało przez coś przywrócone i w nowym logu nadal to samo co przedtem: ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: http=127.0.0.1:8888;https=127.0.0.1:8888 Nie wiem co przywraca to proxy. Podaj dodatkowe dane: 1. Otwórz Notatnik i wklej w nim: ProxyEnable: Internet Explorer proxy is enabled. ProxyServer: http=127.0.0.1:8888;https=127.0.0.1:8888 Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /s Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s Reg: reg query "HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s CMD: del /q C:\Windows\system32\roboot64.exe Folder: C:\Users\User\AppData\Local\OTLand DeleteQuarantine: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Log z FRST źle zrobiony, wyłączyłeś opcje Whitelist. Operacja skryptowa pomyślna. I skoro usunąłeś przeglądarki, to będą poprawki na ich szczątki. Kolejne działania: 1. Odinstaluj stare wersje Adobe Reader X (10.1.0), Java™ 7 Update 3 (64-bit). 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Poprawki na szczątki odinstalowanych przeglądarek. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR StartMenuInternet: Google Chrome - "C:\Users\Andrzej\AppData\Local\Google\Chrome\Application\chrome.exe" Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\Users\Andrzej\AppData\Local\Google RemoveDirectory: C:\Users\Andrzej\AppData\Local\Mozilla RemoveDirectory: C:\Users\Andrzej\AppData\Roaming\Mozilla DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Dostarcz wynikowy fixlog.txt. Nowy skan FRST nie jest potrzebny. Dzięki! W mojej sygnaturze są informacje na temat wsparcia dla forum:

Wszystko pomyślnie wykonane, na urządzeniu poprawne foldery zostały odkryte. Finalizacja: 1. Odinstaluj USBFix. Skasuj ręcznie folder C:\Users\Vincent\Desktop\FRST. Na koniec zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare wersje Adobe Reader X (10.1.12) MUI + Java™ 6 Update 18 i zastąp najnowszymi (o ile potrzebne): KLIK. .

Może któryś e-mail jest zainfekowany. Narzędzia tu używane nie skanują zawartości skrzynek pocztowych. W logach widać owszem szkodliwe zadanie Harmonogramu launchie.vbs startujące z folderu Temp, ale nie wiadomo czy ono jest czynne. Ponadto są malutkie szczątki adware i wpisy puste nie powiązane z problemem głównym. Przy okazji usunę i ten folder "temp" KomaMail. Akcja: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR DefaultSearchKeyword: Default -> delta-search.com CHR DefaultSearchURL: Default -> http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=24845404A605F6A9&affID=122304&tl=gpn65201&tsp=5004 CHR HKLM-x32\...\Chrome\Extension: [bpeeepmahhfjiediknjejcmcfmjcjdck] - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\serach.crx [] CHR HKLM-x32\...\Chrome\Extension: [dkdkpmmkgdbglmfmmmmehbkmnkopingb] - C:\Users\DOMOWY\AppData\Local\Google\Chrome\User Data\Default\Extensions\v9-toolbar.crx [] FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455} Tcpip\..\Interfaces\{B75A06BD-893D-4960-A8AC-616BF6E9EEAF}: [NameServer] CustomCLSID: HKU\S-1-5-21-339540346-3109504209-938711790-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\DOMOWY\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {0F867F08-13F7-4B62-A917-70F957FA2103} - System32\Tasks\{E2F2D445-6296-4502-BB02-96605217308E} => C:\Users\DOMOWY\Downloads\Setup_1.0.0.250.exe Task: {25F7857E-55B4-423D-A7B9-243F550BC882} - System32\Tasks\{0F2C8259-F2E1-404A-A5CF-D10A56EC2428} => C:\Users\DOMOWY\Downloads\do mhdd\Nowy folder\vfdwin.exe Task: {2F843169-2656-41D2-BC69-2A1B7862C4A5} - \{BAA68613-34A5-4943-B879-1FB59100154C} No Task File Task: {3BE585FC-C237-4C73-9F9E-8F143A29F1F2} - System32\Tasks\{43C99D27-D67C-435A-98B4-6A92BD76D27F} => D:\KomaMail\Koma_Mail.exe Task: {4CC2F2EE-DE40-4B6A-9C84-2AB9DB42F5F0} - System32\Tasks\{12271E48-625F-4B9A-A7FB-E3FFCF0F032A} => C:\Users\DOMOWY\Downloads\do mhdd\Nowy folder\vfdwin.exe Task: {6742CD69-FA5B-451B-93BC-0DEE3BEA2109} - \FacebookUpdateTaskUserS-1-5-21-339540346-3109504209-938711790-1001Core No Task File Task: {76DFD001-8117-4E5D-BE28-8EA978F3CB33} - \FacebookUpdateTaskUserS-1-5-21-339540346-3109504209-938711790-1001UA No Task File Task: {77E6F641-6927-4E8B-9BE2-25122646F223} - System32\Tasks\{76E30545-EE8F-46C3-8181-CF63E9E1C446} => C:\Users\DOMOWY\Downloads\do mhdd\Nowy folder\vfdwin.exe Task: {79591226-2CAC-4C8E-BCF1-F308622CC0CB} - System32\Tasks\0 => Iexplore.exe Task: {860D0494-7766-4D8F-9DCE-9927AA301486} - \YourFile DownloaderUpdate No Task File Task: {922CD63C-7D5A-4F62-AA1B-88C70523CA6F} - System32\Tasks\4660 => Wscript.exe C:\Users\DOMOWY\AppData\Local\Temp\launchie.vbs //B Task: {9C1293F2-2B53-4E88-968C-D22F0E97CCD8} - \{3823199B-B5A3-4B79-9EC8-6578E6941E56} No Task File Task: {B9309EFE-F22E-4E7A-9A59-809010C36D66} - \Express FilesUpdate No Task File Task: {BCEF0BEB-2A3C-4C4C-98FC-398C8AE64914} - \{A8F023C6-15A9-44A6-A880-484FB51D5971} No Task File Task: {BF2A1743-D777-43A9-9A5E-7338871EF84B} - System32\Tasks\{74C94C24-BEFC-477C-8414-9C4E9B75ABA7} => C:\Users\DOMOWY\Desktop\instalacja xap\WP7Connector.exe Task: {C1A44EAA-4D94-4F09-B111-E17ABF56A4E4} - \{C7F868BB-58AA-4BBC-8B4A-6B715FF61787} No Task File Task: {C717557F-4C88-4812-816B-3CF22B025F7F} - System32\Tasks\{8E90934E-D7CA-4DF0-9B92-3E2A19C34642} => Iexplore.exe http://ui.skype.com/ui/0/5.5.0.124.259/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=12007&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {D148A48C-DAE4-4E19-A8B9-03AE4C1E5E2E} - \{5FDA4971-6C5F-40BA-B0F8-B180D31D3886} No Task File Task: {D17C0B44-49EB-406A-B4F1-1A1FC99A78AD} - \DriverToolkit Autorun No Task File Task: {D5DCCD12-CE4C-40EE-A915-A1CEB2B91EF9} - System32\Tasks\{1CD35DC9-8F2D-432D-AB6A-4D0F3288AA8B} => C:\Users\DOMOWY\Downloads\do mhdd\Nowy folder\vfd.exe Task: {DBEC9C18-6229-46FE-BFAD-A2DA0BBCFFF3} - System32\Tasks\{CB003FBB-867D-426A-9358-5A14C4F574A1} => G:\AutoRun.exe Task: {FC98ABE6-20E3-4EB6-B4F1-B552EA1B0CD4} - \BitGuard No Task File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SolutoService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SolutoService => ""="Service" S4 ALSysIO; \??\C:\Users\DOMOWY\AppData\Local\Temp\ALSysIO64.sys [X] S3 MEMSWEEP2; \??\C:\Windows\system32\5F65.tmp [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\DOMOWY\*.exe C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\TEMP D:\POCZTA\KomaMail\stanley\temp Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Usuń na tym koncie pocztowym niepotrzebne lub podejrzane wiadomości e-mail. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (potem je włączysz). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy antywirus nadal coś wykrywa. .

Nie widzę tu nic podejrzanego. Powiedz o jaką grę chodzi oraz po czym poznajesz, że "ktoś wchodził na nią". Dodatkowo, uruchamiałaś ComboFix, więc dołącz też log który utworzył - widzę, że skopiowałaś na Pulpit ComboFix.txt.

F8 > Napraw komputer > Wiersz polecenia i zrób mi log FRST wg tych instrukcji: KLIK.

Wszystko gładko poszło. Poprawki: 1. Zapomniałam załączyć do deinstalacji JavaFX 2.1.0. Więc to odinstaluj. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy tam widoczne, przestaw na "Otwórz stronę nowej karty" Ponownie zresetuj cache wtyczek via chrome://plugins 3. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\Program Files (x86)\AVG C:\Program Files (x86)\Java C:\Program Files (x86)\NortonInstaller C:\Program Files (x86)\Oracle C:\ProgramData\Ask C:\ProgramData\AVG Security Toolbar C:\ProgramData\AVG2012 C:\ProgramData\Babylon C:\ProgramData\MFAData C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Oracle C:\ProgramData\Sun C:\ProgramData\Symantec C:\ProgramData\Tarma Installer C:\Users\zbyszek\AppData\LocalLow\Oracle C:\Users\zbyszek\AppData\LocalLow\Sun C:\Users\zbyszek\AppData\LocalLow\Temp C:\Users\zbyszek\Downloads\yet_another_cleaner*.exe C:\Windows\SysWOW64\jupdate*.log Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {BEB4D652-2DFB-42C1-A9E4-D89083C393BA} /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Są tu punkty Przywracania systemu: ==================== Restore Points ========================= 08-10-2014 07:41:49 Windows Update 11-10-2014 16:40:59 Windows Update 14-10-2014 21:00:34 Windows Update 14-10-2014 21:30:58 Windows Update F8 > Napraw komputer > Przywracanie systemu > wybierz ostatni punkt z 14 października. Jeśli akcja się uda, zaloguj się do Windows i zrób nowe logi FRST (włącznie z Addition i Shortcut). .

W systemie działa adware Smartbar. Uwaga dodatkowa: stosowałeś wątpliwe programy: Przyśpiesz.pl i SpyHunter. Z daleka od tego dziadostwa. Wstępne działania: 1. Przez Panel sterowania odinstaluj śmieci i adware: Przyspiesz.pl 3.1.2.0, SafeFinder Smartbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5Hck9W61lK5khItijoEGSgHlG-zYompxsnOoHyjHlfFsVpqm66-KCT5vjdjCNbYqfN8PU_JUhX2eh8wPQAZePiDG2hfIBoUiueC3rCV6EoPW2QAIPb2iaDdV_MBDdrBSKeaZAxJS2AxD0U4FYv8wYw,,&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5Hck9W61lK5khItijoEGSgHlG-zYompxsnOoHyjHlfFsVpqm66-KCT5vjdjCNbYqfNOx8U85w5_-r8sIOXCw_FcSow4AFyLKjHoqjow7u3As1QrGOr5V9MSpo7AjB4NTZzgPlTbYWqDOUERi3EY7PA,, HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5Hck9W61lK5khItijoEGSgHlG-zYompxsnOoHyjHlfFsVpqm66-KCT5vjdjCNbYqfN8PU_JUhX2eh8wPQAZePiDG2hfIBoUiueC3rCV6EoPW2QAIPb2iaDdV_MBDdrBSKeaZAxJS2AxD0U4FYv8wYw,,&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://de.yahoo.com?fr=hp-avast&type=avastbcl HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://de.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = https://de.yahoo.com?fr=hp-avast&type=avastbcl StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://de.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5Hck9W61lK5khItijoEGSgHlG-zYompxsnOoHyjHlfFsVpqm66-KCT5vjdjCNbYqfN8PU_JUhX2eh8wPQAZePiDG2hfIBoUiueC3rCV6EoPW2QAIPb2iaDdV_MBDdrBSKeaZAxJS2AxD0U4FYv8wYw,,&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216&q={searchTerms} SearchScopes: HKLM-x32 - {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://de.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5Hck9W61lK5khItijoEGSgHlG-zYompxsnOoHyjHlfFsVpqm66-KCT5vjdjCNbYqfN8PU_JUhX2eh8wPQAZePiDG2hfIBoUiueC3rCV6EoPW2QAIPb2iaDdV_MBDdrBSKeaZAxJS2AxD0U4FYv8wYw,,&q={searchTerms} SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.safefinder.com/?p=mKO_AwFzXIpYRak5VLd2-qQdkN5729vVFWxou9hoxUv82Ac0l78Z5Hck9W61lK5khItijoEGSgHlG-zYompxsnOoHyjHlfFsVpqm66-KCT5vjdjCNbYqfN8PU_JUhX2eh8wPQAZePiDG2hfIBoUiueC3rCV6EoPW2QAIPb2iaDdV_MBDdrBSKeaZAxJS2AxD0U4FYv8wYw,,&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1409855147&from=ild&uid=WDCXWD5000BPVT-80HXZT3_WD-WX51A918121681216&q={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = https://de.search.yahoo.com/yhs/search?type=avastbcl&hspart=avast&hsimp=yhs-001&p={searchTerms} SearchScopes: HKCU - {b43bdac3-f5f8-48ca-bea6-2f0a51b64175} URL = http://www.findamo.com/search.html?&q={searchTerms}&cid=3975ch=2 BHO: No Name -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> No File BHO-x32: No Name -> {31ad400d-1b06-4e33-a59a-90c2c140cba0} -> No File BHO-x32: No Name -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> No File Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Filozof\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-04] HKLM\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd HKLM-x32\...\Run: [AnyProtect Scanner] => "C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe" S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {37626E24-C4AE-4441-89E3-FBD683B19041} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {5761340F-B08E-4A34-B2D1-5C4B9C427CB9} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {5B20CC43-9F19-4396-900A-9463480D671E} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {AC8DE6EC-BA2C-4676-BE08-0BBD20350E05} - System32\Tasks\{AADA1F81-CB9C-441C-BEC1-BA619E838BBC} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.3.0.105&LastError=404 Task: {DCBBEFB1-2524-4CB8-806C-D6356F11F7C3} - System32\Tasks\ASP => C:\Program Files (x86)\RegClean Pro\SystweakASP.exe Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File Task: {F39A4854-BAD6-42E5-BF4D-3B15EDB9F1E6} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe C:\Program Files (x86)\Przyspiesz C:\Users\Filozof\AppData\Local\AnyProtectScannerSetup.exe C:\Users\Filozof\AppData\Local\Smartbar C:\Users\Filozof\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Filozof\AppData\Roaming\aps.scan.results C:\Users\Filozof\AppData\Roaming\aps.scan.quick.results C:\Users\Filozof\AppData\Roaming\aps.uninstall.scan.results C:\Users\Filozof\AppData\Roaming\sweet-page C:\Users\Filozof\AppData\Roaming\Systweak C:\Users\Filozof\Desktop\Nowy folder\SpyHunter.lnk C:\Users\Filozof\Downloads\setup_przyspiesz_ndw669hqu.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Filozof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Filozof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz zmiany. .

Logi zrobione z poziomu limitowanego konta: Ran by Bieleń (ATTENTION: The logged in user is not administrator) on LEGION on 17-10-2014 18:14:58 W systemie zaś są następujące konta: ========================= Accounts: ========================== Bieleń (S-1-5-21-1125248003-843855650-3334967484-1000 - Limited - Enabled) => C:\Users\Bieleń Karol (S-1-5-21-1125248003-843855650-3334967484-1003 - Administrator - Enabled) => C:\Users\Karol _ocster_backup_ (S-1-5-21-1125248003-843855650-3334967484-1002 - Administrator - Enabled) => C:\Users\_ocster_backup_ Potrzebne logi ze wszystkich kont. Zresetuj system, zaloguj się na konto Karol i zrób kolejne logi z FRST (pola Addition i Shortcut mają być zaznaczone). Nie stosuj opcji Wyloguj lub Przełącz użytkownika, pełny restart ma nastąpić, by odładować poprzednie konto. Na razie skomentuję: Problem może stanowić instalacja BitDefender. Ponadto to wersja starsza z 2012. Te błędy oznaczają uszkodzenie plików wymienionych na komunikatach. Pojawiły się też przy skanie OTL, gdyż skan uzyskał dostęp do pliku. To przecież GMER. Na dysku widać, że go pobrałeś pod taką nazwą: 2014-10-17 18:12 - 2014-10-17 18:12 - 00380416 _____ () C:\Users\Bieleń\Desktop\bd906o1w.exe .

Użycie ComboFix nie było potrzebne, nic nie usuwał z zakresu omawianej infekcji. Tak, widzę adware w Firefox (Helper Website + Settings Manager). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 STHDA; system32\DRIVERS\stwrt64.sys [X] C:\ProgramData\Malwarebytes C:\ProgramData\Thunder Network C:\ProgramData\Xunlei DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes CMD: del /q C:\Users\Torunscy\Downloads\adwcleaner*.exe CMD: sc config "PLAY ONLINE. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus + DownloadHelper) trzeba będzie przeinstalować. Widzę zainstalowany program MozBackup - nie używaj go przypadkiem do przywrócenia poprzednich kopii profilu, bo odkręcisz całe czyszczenie. Nową kopię MozBackup możesz zrobić dopiero po wyczyszczeniu Firefox. 3. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Torunscy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Torunscy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. W systemie są dwa konta: ========================= Accounts: ========================== Dzieci (S-1-5-21-3897440679-2220513392-781578114-1001 - Limited - Enabled) => C:\Users\Dzieci Torunscy (S-1-5-21-3897440679-2220513392-781578114-1000 - Administrator - Enabled) => C:\Users\Torunscy Logi zostały zrobione z poziomu konta Torunscy. Potrzebne logi z obu kont, by sprawdzić niezależne profile przeglądarek. Zaloguj się po kolei na każde z kont i z każdego zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Przy czym: każde logowanie na konto ma być po restarcie systemu, a nie przez opcję Przełącz użytkownika czy Wyloguj, a na koncie limitowanym Dzieci nie uruchamiaj FRST opcją "Uruchom jako Administrator" (zmieni to kontekst konta), tylko przez dwuklik. Dołącz też plik fixlog.txt. .

Nie wiem jaka przyczyna tego zachowania. W skrypcie nic powiązanego. Przy starcie komputera F8 > Ostatnia poprawna konfiguracja. Jeśli to pomoże, zrób nowy log z FRST (zaznacz Addition).

Proszę dostosuj się do zasad działu: KLIK. Nie podałaś obowiązkowych logów. Podaj raporty z: FRST, OTL i GMER.

W systemie działa aktywnie adware oraz infekcja uruchamiająca plik skryptowy VBS. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware PC_Sustainer 1.80, Qtrax Player, Surftastic. O razu też proponuję się pozbyć firmowego i problematycznego ASUS WebStorage, a także starszej wersji Java 7 Update 9 (64-bit). Jeśli czegoś nie będzie widać, nie szkodzi, kontynuuj. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 248642b4; c:\Program Files (x86)\PC_Booster\AssistantSvc.dll [174928 2014-08-10] () [File not signed] AppInit_DLLs: C:\PROGRA~2\PC_BOO~1\ASSIST~2.DLL => C:\Program Files (x86)\PC_Booster\Assistant_x64.dll [4210176 2014-08-10] () AppInit_DLLs-x32: c:\progra~2\pc_boo~1\assist~1.dll => c:\Program Files (x86)\PC_Booster\Assistant.dll [4296192 2014-08-10] () HKLM-x32\...\Run: [Phoenix] => C:\ProgramData\Temp\hide.vbs [129 2012-04-05] ()) HKLM-x32\...\Run: [GoforFilesInstaller Starter] => wnloader.exe HKLM-x32\...\Run: [CLMLServer] => "C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe" HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=mlv&from=mlv&uid=ST9320325AS_S2W12YMGXXXXS2W12YMG&ts=1355432575 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/ SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = CHR HKLM-x32\...\Chrome\Extension: [fjbbjfdilbioabojmcplalojlmdngbjl] - C:\Users\Maja\AppData\Roaming\OpenCandy\390E3846CF0E47CC8A6020FD62712346\smileyswelovetoolbar.crx [2013-01-04] CHR HKLM-x32\...\Chrome\Extension: [gkcbebbklfkjeocpmoamnopdllfekind] - C:\Users\Maja\AppData\Roaming\M-Downloader\Extensions\gdchrome.crx [2013-01-04] CHR HKLM-x32\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - C:\Users\Maja\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2012-12-13] CHR HKLM-x32\...\Chrome\Extension: [pcidejejpblipcjpnkfkddlkmgndblch] - C:\Users\Maja\AppData\Roaming\M-Downloader\Extensions\GenCrawler.crx [2012-12-13] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {0122A9A1-0396-4D98-B8E9-77D974CD4711} - System32\Tasks\{EA98808D-FAFE-4374-A6CF-C72C8CC95F7E} => D:\Gry\Dirt 3\dirt3.exe Task: {03189FD1-A5DA-48EB-AA09-CA9AD10DE859} - System32\Tasks\{8485CFFE-A686-4F55-8E52-EC2305101497} => D:\Gry\SniperEliteV2\bin\SniperEliteV2.exe Task: {0364B979-A749-46F7-938E-97AC30EE3FF7} - System32\Tasks\{5B9D3640-31F1-4027-A93E-26875A4279FF} => D:\Gry\Max Payne 3\PlayMaxPayne3.exe Task: {0571EE90-8C1B-4C8F-B01D-9EB59F097F37} - System32\Tasks\{6EB4DFF0-E256-4590-A8B1-91C53AE3ADA2} => E:\Drivers\Win_XP2K\POLISH\_isdel.exe Task: {0B13064A-50A1-480A-91E1-AC8F5482311F} - System32\Tasks\{A31ADFC9-7414-4978-9851-3A3C5B57B2C9} => C:\Users\Maja\Desktop\Nowy folder\Drivers\Win_XP2K\POLISH\setup.exe Task: {13684AC1-0A48-41AE-8922-187536CA9FEB} - System32\Tasks\{F7BB9F94-3ECB-4702-94CB-5170A0536C14} => D:\Gry\SniperEliteV2\bin\SniperEliteV2.exe Task: {1375289D-EAFD-477B-A853-1A45471CF3F1} - System32\Tasks\{8F37D228-7D71-497E-8D36-A1D3F8C5698F} => E:\Drivers\Win_XP2K\POLISH\setup.exe Task: {22B69201-5C41-402E-ADFE-7B9EF2DFE993} - System32\Tasks\{E9A57399-A766-4107-B1D5-B5C438D07E39} => Chrome.exe Task: {276E9664-9CA9-4362-9C06-9F208C4579FE} - System32\Tasks\{CF2EF09A-9A2C-4B9B-AD37-2A1367BE738E} => E:\Drivers\Win_XP2K\POLISH\_isdel.exe Task: {2CC0B8B2-0F51-47CE-A4E7-1D24C4C1216E} - System32\Tasks\{18E9D589-F462-4E80-B6C1-5AB953AD5E4C} => C:\Users\Maja\Desktop\Nowy folder\Drivers\Win_XP2K\POLISH\_isdel.exe Task: {2E44F042-67CD-41D9-AB25-F3C22E12DDB9} - System32\Tasks\{4CF35F49-3C43-4D28-890B-35F1EAB5BDA7} => C:\Users\Maja\Desktop\Nowy folder\WinMacro.exe Task: {363AFC77-43E5-4D97-8C55-799F42D21D18} - System32\Tasks\{6A04E4D6-5DAE-4E41-A4BE-1EECB2B9025A} => D:\Gry\Dirt 3\dirt3.exe Task: {3C47A7B7-9A53-474A-A73B-8EC7B752AD76} - System32\Tasks\MATLAB R2012b Startup Accelerator => C:\Program Files\MATLAB\R2012b\bin\win64\MATLABStartupAccelerator.exe Task: {3D3AABEA-F79B-4E71-AD53-E2A48A424A04} - System32\Tasks\{7F2E91FF-3F4E-4A0A-BD5F-26CA4983811A} => C:\Lxk2200\drivers\Win_XP2K\POLISH\setup.exe Task: {3E60ADFF-E7D6-4F9B-A921-1CE2A10D240F} - System32\Tasks\{5C98F31C-8343-4841-B58D-EF3B029F3090} => C:\Users\Maja\Desktop\Nowy folder\Drivers\Win_XP2K\POLISH\_isdel.exe Task: {52F16471-066B-4FF3-A5F5-DBB848AE1574} - System32\Tasks\{BA144378-69FA-474F-855E-D4931AB8475B} => D:\Gry\Dirt 3\dirt3.exe Task: {5FC514CB-9681-465B-8F9D-794D57777B9C} - System32\Tasks\{DA88BC79-187B-46E8-B2E2-4872EDCC26F6} => D:\Games\Battlefield 3\bf3.exe Task: {62A5DD9D-4CB1-45E0-A499-2902AAE98C4C} - System32\Tasks\{6BA718E9-29AE-422F-80D5-1CD649755C36} => C:\Users\Maja\Desktop\Nowy folder\Drivers\Win_XP2K\POLISH\setup.exe Task: {6395FF10-E4DB-452F-85C3-A0095EB3F5F7} - System32\Tasks\{2ABDC6C7-B009-4670-8ECD-556E3C39A58C} => D:\Gry\SniperEliteV2\bin\SniperEliteV2.exe Task: {66ADC65A-19D9-4491-B93C-F3AE9CC1C0FC} - System32\Tasks\{B6E46F28-028D-436E-8100-C70B167DADFF} => C:\Users\Maja\Desktop\Nowy folder\setup.EXE Task: {7944A752-91AD-4718-B689-FC2EF169ACC3} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {7C90CDEE-CF3C-4DD1-9CC5-F6AC7F6FF4AA} - System32\Tasks\{578F8FC7-454C-4DD1-B02A-0B2D75741450} => C:\Users\Maja\Desktop\Nowy folder\setup.EXE Task: {7FD9AACB-01E7-4FCC-B8DD-704BAB7BF1D9} - System32\Tasks\{DCC05A42-6D62-456E-8A33-AB34F8FA382A} => E:\Drivers\Win_XP2K\POLISH\setup.exe Task: {97F76C65-B54A-41BD-9BED-F3F6EE010A37} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {9B31A0B5-EB6F-42A1-A5D6-50375063DB0B} - System32\Tasks\{8C29571E-2D75-4F44-BEAB-9AC27A51D218} => C:\Users\Maja\Desktop\Nowy folder\setup.EXE Task: {9F86C8DE-9E91-4F5B-9ED6-F86A3DF6623B} - System32\Tasks\{8812BDE8-2E8A-4977-B226-F82E624AFB82} => C:\Users\Maja\Desktop\Nowy folder\Drivers\Win_XP2K\POLISH\setup.exe Task: {AEABE714-AB8B-4326-937A-A5F654475E50} - System32\Tasks\{A58D0D8C-FC01-4370-BA0B-23AA25123940} => D:\Gry\Dirt 3\dirt3.exe Task: {B1710C21-091E-4133-9021-10EA20FE83BE} - System32\Tasks\{C6006E20-C640-4BCC-B525-32532B4F6B86} => E:\Drivers\Win_XP2K\ENGLISH\setup.exe Task: {C0B40A72-7354-4EE2-AD06-C37D09123C94} - System32\Tasks\{4BB1A07E-E3F1-460D-8BA0-EC75BEBBA5BF} => C:\Users\Maja\Desktop\Nowy folder\setup.EXE Task: {D509859A-3D60-41AB-A92B-F27C76BB969B} - System32\Tasks\{0B07B79A-641A-4E72-85A4-F66733A66D91} => C:\Lxk2200\drivers\Win_XP2K\POLISH\setup.exe Task: {DF34BD6E-1623-49F7-BCE9-15D81A1EB77A} - System32\Tasks\{8D61818B-D359-4E6C-B580-FCA0F83960C0} => C:\Users\Maja\Desktop\WinMacro (1)\WinMacro.exe Task: {EA9A3F28-B75F-49C1-9D5E-2CC91F8C5F95} - System32\Tasks\{7B4826F6-DA64-4897-B428-0787A33D2F2B} => C:\Users\Maja\Desktop\Nowy folder\Drivers\Win_XP2K\POLISH\setup.exe Task: {F6F2CAA9-C95B-402B-B64B-FF74ADCC547E} - System32\Tasks\{1FA4EA1C-F982-4AE0-929A-B1F1F4F8000B} => D:\Gry\Dirt 3\dirt3.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\PC_Booster C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\Temp C:\Users\Maja\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Maja\AppData\Roaming\BabSolution C:\Users\Maja\AppData\Roaming\firefox@mozilla.com C:\Users\Maja\AppData\Roaming\GoforFiles C:\Users\Maja\AppData\Roaming\M-Downloader C:\Users\Maja\AppData\Roaming\newnext.me C:\Users\Maja\AppData\Roaming\OpenCandy C:\Windows\SysWow64\unrar.dll CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Maja\AppData\Local CMD: dir /a C:\Users\Maja\AppData\LocalLow CMD: dir /a C:\Users\Maja\AppData\Roaming CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Następnie zainstaluj najnowszą wersję przeglądarki: KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie opcję Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz pozytywne zmiany. .

W raportach widać modyfikację pliku HOSTS, która prawdopodobnie odpowiada za ten efekt, a także adware. Ponadto, stosowałeś wątpliwy program SpyHunter - z daleka od niego. Działania wstępne: 1. Na początek poprawne deinstalacje adware, zbędników i starych dziurawych aplikacji via Panel sterowania: Ask Toolbar, AVG 2012, Java™ 6 Update 22, Java™ 6 Update 22 (64-bit), Java 7 Update 71, Norton Security Scan, Qtrax Player, VshareComplete Jeśli czegoś nie będzie widać lub nie będzie się dało odinstalować, kontynuuj do kolejnych pozycji. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 eeCtrl; C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\eeCtrl64.sys [487216 2014-09-11] (Symantec Corporation) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3979453871-354022052-2110772485-1000\...\MountPoints2: {e5db99f1-1d2f-11e4-86e8-9439e5a5e658} - F:\Startme.exe AppInit_DLLs-x32: c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll => "c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll" File Not Found HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=156&d=pg HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://search.babylon.com/?affID=109220&tt=0313_5&babsrc=HP_ss&mntrId=902074ec000000000000a639e5a5e657 http://sony.msn.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://findgala.com/?&uid=9&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://findgala.com/?&uid=9&q={searchTerms} SearchScopes: HKCU - {8AC42468-EFC7-4C13-AABA-BF7BFB1B0E5D} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=D7B92098-E643-4385-905A-9D9D8ADCFE14&apn_sauid=697E5BDA-E898-4453-ADBF-4F25A4E9F013 CHR HKLM-x32\...\Chrome\Extension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:\Users\zbyszek\AppData\Local\APN\GoogleCRXs\apnorjtoolbar.crx [2012-10-17] CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx [2012-07-26] Task: {028E0FEF-18C2-4514-9FDB-B6BD0F4C3379} - System32\Tasks\{C965709E-F7FC-4362-9803-9681AEDFD01E} => Chrome.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsMain Task: {55E3DBE9-E14F-4936-984B-D2F1E2FF0E34} - System32\Tasks\{E8EA96B3-2C28-486C-BCB9-00AF1472E7B6} => Chrome.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsMain Task: {C5302F1A-4118-4439-A1B6-42E34C736FB1} - System32\Tasks\task565550 => C:\Users\zbyszek\AppData\Local\Temp\0.6928561684109467.exe Task: {E7E981A5-50F1-44FE-AD5D-6EF89085AE93} - System32\Tasks\Norton Security Scan for zbyszek => C:\Program Files (x86)\Norton Security Scan\Engine\4.1.0.28\Nss.exe [2014-01-27] (Symantec Corporation) Task: C:\Windows\Tasks\Norton Security Scan for zbyszek.job => C:\PROGRA~2\NORTON~2\Engine\410~1.28\Nss.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\StartSearch plugin C:\ProgramData\McAfee C:\Users\zbyszek\AppData\Local\APN C:\Users\zbyszek\AppData\Roaming\Babylon C:\Users\zbyszek\AppData\Roaming\Mozilla C:\Users\zbyszek\AppData\Roaming\VshareComplete C:\Users\zbyszek\Downloads\SpyHunter-Installer.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\zbyszek\AppData\Local CMD: dir /a C:\Users\zbyszek\AppData\LocalLow CMD: dir /a C:\Users\zbyszek\AppData\Roaming CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Ask Toolbar Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy AVG (isearch.avg.com). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Wg raportu serwery DNS są już poprawne: Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{11475368-A355-4574-A993-A042D834F8C8}: [NameServer] 8.8.8.8,8.8.4.4 W logach nie widać też czynnej infekcji, tylko drobne odpadki adware nie powiązane ze sprawą. Skoro nadal widzisz komunikat, możliwy jest wpływ cache (bufor DNS lub cache przeglądarki). I był tu stosowany DelFix do usuwania narzędzi, co to ma znaczyć, czy temat był wcześniej prowadzony na innym forum, czy to może jakieś przypadkowe Twoje własne działania? Wstępne działania: 1. Na początek proponuję odinstalować zbędny i problematyczny firewall NVIDIA ForceWare Network Access Manager. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction URLSearchHook: HKCU - (No Name) - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKCU - {5539A100-DC83-49a2-8C3B-EBC7CE92D1AA} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKCU - {D0069BA1-6C1A-4770-B3E5-59DAD2114225} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom ten test i podaj wyniki: KLIK. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (był używany). Wypowiedz się czy jest nadal jakiś problem. .

Nie odpowiedziałeś mi na pytanie czy jest możliwe uruchomienie FRST. Logi tekstowe proszę umieszczaj jako załączniki forum, a nie na serwisach hostingowych. Przeniosłam log ComboFix do załącznika. Podałam Ci link. Przeczytaj opis. W opisie jest, by uruchomić przy starcie systemu F8 > Napraw komputer, co udostępni moduł naprawczy z opcją Przywracania systemu. Jeśli nie ma możliwości dostać się przez F8, start z płyty intalacyjnej DVD Windows do modułu Napraw komputer. .

W raportach brak oznak czynnej infekcji "policyjnej", widać za to adware. Skoro nadal pokazuje się komunikat infekcji, produkuje go któreś cache (bufor DNS lub przeglądarki). Wstępne działania: 1. Przez Panel sterowania odinstaluj: - Adware: MyStart Toolbar, webporpoise - Stare oraz zbędne aplikacje: Adobe Flash Player ActiveX, Adobe Reader 9.5.0 - Polish, Java 7 Update 55, Java™ 6 Update 26, Hotspot Shield 3.42, Surfing Protection, Trojan Killer 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: R2 updater; C:\Users\komp\AppData\Roaming\Updater\updater.dll [1564672 2014-03-28] () [File not signed] S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 clwvd6; system32\DRIVERS\clwvd6.sys [X] SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * aswBoot.exe /M:210a2d453 /dir:"C:\Program Files\AVAST Software\Avast" SearchScopes: HKLM - DefaultScope {56256A51-B582-467e-B8D4-7786EDA79AE0} URL = SearchScopes: HKLM - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> No File FF Plugin: @ieinspector.com/ha_plugin -> C:\Program Files\IEInspector\HTTPAnalyzerFullV7\firefox\Components No File FF Extension: Hotspot Shield Extension - C:\Program Files\Mozilla Firefox\browser\extensions\afproxy@anchorfree.com [2014-09-25] CHR HKLM\...\Chrome\Extension: [jlfihafpijfdgmojeeigcldgchhojpfp] - C:\Program Files\BFlix\BFlix.crx [] CHR HKLM\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\komp\AppData\Local\Temp\ccex.crx [2014-07-14] CHR HKLM\...\Chrome\Extension: [nfengeggddojhakldhlpjdlddgkkjkdd] - C:\Program Files\IObit\Surfing Protection\BrowerProtect\ASC_GhromePlugin.crx [2014-02-01] Task: {173B2257-8AF1-4B3C-8CFC-35D63B29B4E4} - System32\Tasks\{F9518F73-EEF2-43B6-8C39-F32CD4670967} => Firefox.exe http://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsMain Task: {2EFF48DB-CD65-45AC-B927-2BB6DDB5DFFB} - System32\Tasks\{700D4B87-8EA6-4849-88E3-5247C9B2358C} => Firefox.exe http://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsMain Task: {2F8C5C52-1D4C-41F0-A5FD-F04E5ED75297} - System32\Tasks\{59BCC8AF-8008-408A-AA97-39CDC14B698F} => C:\Program Files\Nero\Nero Core\nero.exe Task: {6473F200-B3BD-416D-AD0D-C1651B5BC9EE} - System32\Tasks\{B00337AA-CB16-4469-AA0E-AD9B2BC49AA6} => Firefox.exe http://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsMain Task: {C99DFF67-D6A2-4503-B0EC-AFF21DFF88B6} - System32\Tasks\Xfire => C:\Program DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^komp^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^debug.log DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Kookos DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\My Web Search Bar Search Scope Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MyWebSearch Email Plugin DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ODG Start DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tuto4pc_pl_7 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tutorials C:\ProgramData\AVAST Software C:\ProgramData\TEMP C:\Users\komp\AppData\Roaming\Updater C:\Windows\pss\debug.log.Startup C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\aswsp.sys.1413485556017 RemoveDirectory: C:\Users\Damian\Desktop\Stare dane programu Firefox CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Są tu aż trzy konta w systemie: ========================= Accounts: ========================== Damian (S-1-5-21-1926016878-2585218478-4226983868-1004 - Administrator - Enabled) => C:\Users\Damian) komp (S-1-5-21-1926016878-2585218478-4226983868-1000 - Administrator - Enabled) => C:\Users\komp Mcx1-KOMP-KOMPUTER (S-1-5-21-1926016878-2585218478-4226983868-1005 - Limited - Enabled) => C:\Users\Mcx1-KOMP-KOMPUTER Dostarczone logi są z konta Damian. Proszę po kolei zaloguj się na każde z kont poprzez pełny reset komputera i logowanie na dane konto, a nie opcję Przełącz użytkownika czy Wyloguj, i zrób na każdym koncie osobne logi z FRST (pole Addition ma być zaznaczone, by na każdym koncie powstały po dwa logi). Na koncie limitowanym Mcx1-KOMP-KOMPUTER nie uruchamiaj FRST opcją "Uruchom jako Administrator" tylko przez dwuklik, by kontekst konta się nie zmienił. Dostarcz także plik fixlog.txt oraz log z MBAM: Podaj też czy są po wykonaniu skryptu FRST ustąpiły objawy infekcji. Uruchom ten test i podaj wyniki: KLIK. .

Czy jest możliwość uruchomienia czegokolwiek i zrobienia obowiązkowych logów z FRST? Czy jest na dysku plik C:\ComboFix.txt? Nie wiadomo co było w Qoobox, jeśli ComboFix coś poprawnego usunął, a Ty to na dodatek skasowałeś z kwarantanny, pozbawiłeś się możliwości odzyskania plików. Dodatkowo, na Pulpicie widzę skrypt CFSCript.txt - proszę pokazać co w nim było. I w takiej sytuacji zostaje Przywracanie systemu. ComboFix powinien utworzyć punkt przed uruchomieniem. Jeśli nie da się uruhomić Przywracania z poziomu Windows, zrób to z poziomu środowiska zewnętrznego WinRE: KLIK. .

Skoro czyszczenie miało pozytywne rezultaty, to jak mówiłam któreś cache było zabrudzone, a mój skrypt czyścił te miejsca. Wszystko zrobione, kroki końcowe: 1. Nie zauważyłam jednego pustego wpisu w starcie. Skasuj z dysku plik: C:\Users\galonpzw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GameRanger.lnk 2. Skasuj FRST z G:\Pulpit\PULPIT. Popraw za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Log wskazuje, że rzeczywiście wszędzie są ustawione adresy DNS Google: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{1DC05097-F115-4528-98ED-E86941FBA218}: [NameServer] 8.8.8.8 Tcpip\..\Interfaces\{F414BB6D-5952-4985-B2C2-740933FBED7D}: [NameServer] 8.8.8.8,8.8.4.4 W raporcie nie widać oznak czynnej infekcji. Może ten komunikat jest z winy któregoś cache (bufor DNS lub cache przeglądarek). Wstępne działania: 1. Uruchom ten test i podaj wyniki: KLIK. 2. Wyłącz rezydent Spybota, by nie przeszkadzał, a najpiej to go odinstaluj całkowicie, obecnie to dość słaby program. Otwórz Notatnik i wklej w nim: CloseProcesses: R0 fsbts; C:\Windows\System32\Drivers\fsbts.sys [56016 2014-10-11] () S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 GPU-Z; \??\C:\Users\galonpzw\AppData\Local\Temp\GPU-Z.sys [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3991204091-2138177107-2604177908-1001\...\Run: [AdobeBridge] => [X] C:\ProgramData\AVG2014 C:\ProgramData\F-Secure C:\ProgramData\MFAData C:\Users\Default\AppData\Roaming\TuneUp Software C:\Users\galonpzw\AppData\Roaming\3909 C:\Users\galonpzw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter C:\WINDOWS\AF54923662584AC6A0435B5B89C6EB61.TMP C:\WINDOWS\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\WINDOWS\system32\Drivers\fsbts.sys C:\WINDOWS\SysWOW64\%TMP% C:\WINDOWS\SysWOW64\sqlite3.dll CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa. .

Tak, jest tu infekcja routera: Tcpip\Parameters: [DhcpNameServer] 94.249.192.104 8.8.8.8 1. Zaloguj się do routera: - Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 - Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz C:\ComboFix.txt (był używany ComboFix). .

W systemie działa inwazyjne adware z grupy Sambreel (RightSurf). Jeśli chodzi o brak miejsca na dysku, to partycja systemowa na system typu 64-bit to trochę mała: ==================== Drives ================================ Drive c: (Win-7-64.) (Fixed) (Total:49.9 GB) (Free:6.52 GB) NTFS Drive d: (Użytki) (Fixed) (Total:248.09 GB) (Free:47.92 GB) NTFS Wstępnie przeprowadź następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 Update RightSurf; C:\Program Files (x86)\RightSurf\updateRightSurf.exe [522528 2014-10-16] () R2 Util RightSurf; C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe [522528 2014-10-16] () R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-03-14] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-06-12] (StdLib) Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ALFALINE.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=112250&babsrc=HP_ss&mntrId=c62e8f7f000000000000000000000000 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112250&babsrc=SP_ss&mntrId=c62e8f7f000000000000000000000000 CHR HKCU\...\Chrome\Extension: [ojpijjmpahflnipadmlpgbjmagmjchkk] - C:\Users\Admin\AppData\Local\CRE\ojpijjmpahflnipadmlpgbjmagmjchkk.crx [2014-03-19] CHR HKLM-x32\...\Chrome\Extension: [ojpijjmpahflnipadmlpgbjmagmjchkk] - C:\Users\Admin\AppData\Local\CRE\ojpijjmpahflnipadmlpgbjmagmjchkk.crx [2014-03-19] Task: {C41E4907-DEA4-4CB2-8776-62B2EC738D0C} - System32\Tasks\{988AE7F0-6AED-49E0-9C9C-48319DF1D0E4} => Chrome.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsMain C:\ProgramData\TEMP C:\Users\Admin\AppData\Local\CRE C:\Users\Admin\AppData\Roaming\Babylon C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj przede wszystkim adware DownLite, RightSurf oraz przy okazji i stary Mozilla Firefox 16.0.1. Przy deinstalacji Firefox odpowiedz twierdząco przy pytaniu o usuwanie danych użytkownika. Możesz także odinstalować inne rzeczy, jeśli nie używasz, skoro jest tu problem z miejscem na dysku. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. I pytanie czy to legalny Windows bez manipulowania aktywacją, bo w Dziennniku zdarzeń dręczy błędy tego rodzaju: Application errors: ================== Error: (10/16/2014 09:04:53 AM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. .