picasso

To stare wersje, więc należy je odinstalować przed instalacją najnowszych. Zresztą ten stary Adobe Reader chyba w ogóle tego wymaga (nie zaktualizuje nakładkowo linii 9.x do 11.x), a Java nie zastępuje starych wersji i się one rozmnażają na liście.

Czy chodzi o ten typ plików widocznych w OTL: [2014-10-12 19:56:13 | 000,605,002 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2559.jpg [2014-10-12 19:56:13 | 000,532,627 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2558.jpg [2014-10-12 19:56:13 | 000,501,367 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2560.jpg [2014-10-12 19:56:13 | 000,484,206 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2557.jpg [2014-10-12 19:56:13 | 000,459,370 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2566.jpg [2014-10-12 19:56:13 | 000,457,061 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2556.jpg [2014-10-12 19:56:13 | 000,418,208 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2555.jpg [2014-10-12 19:56:13 | 000,381,914 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2565.jpg [2014-10-12 19:56:13 | 000,344,884 | ---- | C] () -- C:\Documents and Settings\pip\Moje dokumenty\zdjŕcie2554.jpg Zwraca uwagę zdeformowana nazwa (zamiast polskiej czcionki uszkodzony znak). I ogólnie wątpię, by te pliki JPG to była infekcja. Opis mi się raczej kojarzy z uszkodzeniem plików i niemożnością przetworzenia ich w eksploratorze. W Dzienniku zdarzeń był też odnotowany taki oto błąd powłoki: Application errors: ================== Error: (10/12/2014 05:18:40 PM) (Source: Application Hang) (EventID: 1002) (User: ) Description: Aplikacja zawieszająca explorer.exe, wersja 6.0.2900.5512, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000. Nie ma śladów infekcji, ani widocznych oznak związanych z owymi plikami JPG. Do czyszczenia tylko stare małe odpadki i stare programy, nie powiązane z problemem: 1. Przez Dodaj/Usuń programy odinstaluj wtyczki: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Shockwave Player 12.0 oraz (o ile nie używasz wcale) starszy Mozilla Firefox 26.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1177238915-1364589140-2147126749-1004\...\Run: [MyCuteBuddy] => "C:\Program Files\My Cute Buddy\myCuteBuddy.exe" "file:///C:/Program Files/My Cute Buddy/Content/Cute Kitty/piticho.buddy" /m /u URLSearchHook: HKCU - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {F229FD27-478C-4721-B1B5-4FE8489C5C02} URL = http://www.search.ask.com/web?p2=^B7N^YYYYYY^YY^PL&gct=sb&itbv=12.5.1.1394&o=APN11293&tpid=CME-V7&apn_uid=F0F1FF53-5F25-4AFC-807E-FC61D70F5774&apn_ptnrs=^B7N&apn_dtid=^YYYYYY^YY^PL&apn_dbr=cr_30.0.1599.66&doi=2013-10-05&trgb=IE&q={searchTerms}&psv=barid%3D293522355910580848898306455903316070835%26cargo%3DCME-V7%26spr%3Da%26did%3D10714%26ppd%3D Toolbar: HKCU - No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File S2 ICM_UpdaterService; C:\Program Files\SAMSUNG\Samsung Networking Wizard\ICM_Service.exe [X] C:\Documents and Settings\All Users\Dane aplikacji\Iminent C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\SuperbApp C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\pip\Dane aplikacji\DigitalSite C:\Documents and Settings\pip\Dane aplikacji\Iminent C:\Documents and Settings\pip\Dane aplikacji\Mozilla\Firefox\profiles\extensions C:\Program Files\Mozilla Firefox\plugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli Firefox nie zostanie odinstalowany, wyczyść go ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na koniec aktualizacje. Addition pokazywał następujące wersje: ==================== Installed Programs ====================== Adobe Reader 9.1 - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated) Java 7 Update 21 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217021FF}) (Version: 7.0.210 - Oracle)

Skrypt FRST wykonany, ale zanim przejdziemy do finalizacji: Router nie jest w ogóle zabezpieczony i atak może się powtórzyć. Musisz go zabezpieczyć poprzez zablokowanie panelu zarządzania routerem od strony internetu: KLIK. "Po poprawnej konfiguracji urządzenia i uzyskaniu połączenia do internetu prosimy o sprawdzenie na urządzeniu czy w "Access Management"->"ACL" jest jako "Activated" i w zakładce "Interface" jest tylko LAN." .

Ale nie miałeś powtarzać skryptu w FRST. Skrypt był już wykonany przy pierwszym podejściu, jego powtarzanie nie miało sensu - skrypty są jednorazowe i nie przetworzą ponownie czegoś co już było usuwane. Miałeś tylko dokończyć to co nie zostało zrobione w pierwszej rundzie, czyli reset Firefox. Tym razem wykonany. Wszystko usunięte i możemy kończyć: 1. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Users\Mati\Downloads\*(*)-dp*.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player Packages RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Mati\Desktop\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt zanim przejdziesz do punktu 2 (plik zostanie skasowany). 2. Następnie usuń używane narzędzia za pomocą DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Tylko logi FRST zostawiam, OTL podany raz wystarczy. Użycie Przywracania systemu odkręciło akcję z posta numer #2. Powtórz ten pierwszy podany skrypt do FRST i przedstaw wynikowy fixlog.txt. Jeśli zaś chodzi o usuwanie sterowników PC Tools zadane w poście numer #6, to nie rozumiem co się stało. Wg szukania w rejestrze nie było filtrów na urządzeniach. Jaki błąd zgłosił nie uruchamiający się system? Proszę spakuj do ZIP plik C:\FRST\Hives\SYSTEM, shostuj gdzieś i podaj do tego link. Obejrzę cały rejestr pod kątem tych sterowników PC Tools. .

Zadanie wykonane. Skasuj z dysku plik C:\DelFix.txt. Temat rozwiązany. Zamykam.

Przypominam, że zestaw obowiązujących raportów jest tu szerszy, również OTL i GMER są obowiązkowe. Problem adware pochodzi z uruchomienia tzw. "downloaderów", na dysku widać conajmniej jeden plik tego typu. Do czytania potem na co uważać: KLIK. C:\Users\Admin\Downloads\ToshibaTouchpadDisable_EnableUtility_downloader-I1IhNEv9m.exe W systemie jest zresztą więcej typów adware, nie tylko ów "RightSurf". Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-09] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-10-09] (globalUpdate) [File not signed] R2 Update RightSurf; C:\Program Files (x86)\RightSurf\updateRightSurf.exe [522528 2014-10-12] () R2 Util RightSurf; C:\Program Files (x86)\RightSurf\bin\utilRightSurf.exe [522528 2014-10-12] () ) R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61112 2014-04-18] (StdLib) R1 {b9a19c25-a741-47e5-91a2-0b62bef307ff}w64; C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys [61112 2014-04-24] (StdLib) Task: {6D4B5E92-518E-4251-8C4D-DD5C0D2ADAB9} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-09] (globalUpdate) Task: {6F88297E-477E-4B15-AF42-DA5EDFEBE233} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-10-09] (globalUpdate) Task: {C7A3732A-C63E-443F-B8CA-6F05C3B2D2BC} - System32\Tasks\YWDGNH => C:\Users\Admin\AppData\Roaming\YWDGNH.exe [2014-10-09] (Object Browser) Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\YWDGNH.job => C:\Users\Admin\AppData\Roaming\YWDGNH.exe HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.dalesearch.com/?babsrc=HP_ss&mntrId=4E4F001B9EEBA14D&affID=119357&tt=021013_dle&tsp=5023 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1412872737&from=smt&uid=TOSHIBAXMK2046GSX_48MMCCD6TXX48MMCCD6T SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.dalesearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4E4F001B9EEBA14D&affID=119357&tt=021013_dle&tsp=5023 SearchScopes: HKCU - {EE36B910-E61C-46E5-8375-0A788BA8502E} URL = http://rts.dsrlte.com/?q={searchTerms}&r=316 GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate) C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mobogenie3 C:\Program Files (x86)\RightSurf C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AppsHat C:\ProgramData\TEMP C:\ProgramData\Thunder Network C:\ProgramData\Xunlei C:\Users\Admin\AppData\Local\CrashRpt C:\Users\Admin\AppData\Local\globalUpdate C:\Users\Admin\AppData\Local\Lollipop C:\Users\Admin\AppData\Local\Mobogenie C:\Users\Admin\AppData\Roaming\*.exe C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\Admin\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} C:\Users\Admin\AppData\Roaming\newnext.me C:\Users\Admin\Downloads\*downloader*.exe C:\Users\Admin\Downloads\*patch*.exe C:\Users\Admin\Documents\Mobogenie C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\YTAHelper C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}w64.sys C:\Windows\System32\drivers\wStLibG64.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Skype Packages DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót Internet Explorer jest uszkodzony: Shortcut: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware Widget context Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Na temat konfiguracji FRST: sekcja "Drivers MD5" nie miała być zaznaczona. Zabrakło też raportu OTL Extras. Był tu używany ComboFix i na przyszłość: KLIK. W systemie są ślady infekcji, która prawdopodobnie weszła z exploitów Java. W systemie są stare dziurawe wersje Java z silną podatnością na ataki. Ponadto, ten system ma krytyczny poziom aktualizacji i jest "zabezpieczany" przez sfatygowany stary ESET Smart Security z 2009, na dodatek scrackowany. Póżniej w ramach zabezpieczeń będzie aktualizacja całego Windows i wymiana antywirusa. Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 Infekcja zablokowała oprogramowanie zabezpieczające za pomocą polityk. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Program Files\Malwarebytes' Anti-Malware HKLM Group Policy restriction on software: C:\Program Files\Alwil Software HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension R3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X] U3 mbr; \??\C:\DOCUME~1\User\USTAWI~1\Temp\mbr.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\EecejFugto C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\User\Dane aplikacji\DSite C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj stare niebezpieczne wersje Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Flash Player 9 ActiveX, Java 7 Update 9, Java™ 6 Update 24. Przy okazji odinstaluj też zbędny Akamai NetSession Interface. 3. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz log C:\ComboFix.txt. .

Wygląda na to, iż coś się nie wykonało. Nie dostarczyłeś pliku fixlog.txt, który miał powstać podczas uruchamiania Fix w FRST. Czy podczas tej operacji był jakiś błąd (np. FRST "przestał działać")? Czy na Pulpicie skąd uruchamiałeś FRST jest ten plik? Czy w folderze C:\FRST\Logs jest plik Fixlog_data_czas.txt?

Gareth22 Finalizujemy sprawy: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. Cisowiaka W spoilerze objaśnienia, bo to offtopik. .

Przekierowania gazeta.pl mogą zostać dodane przez jakiś instalator "promujący stronę". Przykład niechcianej modyfikacji: KLIK. Tu jest na dodatek modyfikacja po stronie HKLM a nie HKCU, co wskazuje na ingerencje inne niż przez opcje przeglądarki. Kolejny przykład niepożądanej modyfikacji to ustawienie strony startowej wp.pl wymuszane w "Asystencie pobierania" dobrychprogramów.pl (screen zrobiłam gdzieś w połowie sierpnia będąc na wakacjach w Polsce): Dużo jest takich możliwości z polskimi portalami promującymi się w postaci stron startowych i wyszukiwarek. Oczywiście jest też możliwe, iż ktoś samodzielnie celowo to ustawił. Ale w tym przypadku po prostu może sobie ustawić ręcznie ponownie. Czyszczenie nie jest inwazyjne, to tylko przywrócenie strony startowej do stanu domyślnego.

Ad "prosiłeś" = jestem kobietą. Google zostało przeinstalowane, tak więc powiedz mi czy wszystkie problemy ustały.

Zgadza się, więc możesz przejść do dalszych kroków.

Problemem jest rozszerzenie ShoppingDealFactory, kompletnie nie wykrywane przez skanery. Ponadto, myślę że jest tu dowód na koncepcję, którą zasugerowałam w ostatnim poście zlinkowanego pokrewnego tematu: masz zainstalowaną niestandardową niestabilną wersję Google Chrome typu dev-m. Moja koncepcja przewiduje, iż adware instaluje po cichu wersję eksperymentalną Chrome, by obejść wszystkie zabezpieczenia blokujące szkodliwe roszerzenia. Będziemy reinstalować Google Chrome na czysto: 1. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. 2. Odinstaluj Google Chrome. Przy deinstalacji zatwierdź usuwanie danych użytkownika. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać Google Update Helper > jeśli tak to zaznacz > Dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Program Files\Google C:\Program Files (x86)\Google C:\Users\michal\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie plik fixlog.txt. 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz fixlog.txt. .

Skasuj z dysku plik C:\DelFix.txt. Temat rozwiązany. Zamykam.

Wszystko zrobione. Problemy reklam powinny ustąpić. Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stare wtyczki Adobe (zbędne, Google Chrome ma wbudowaną) + zaktualizuj Internet Explorer (nawet jeśli nie używasz): Internet Explorer Version 9 ==================== Installed Programs ====================== Adobe Flash Player 9 ActiveX (HKLM\...\{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}) (Version: 9.0.45.0 - Adobe Systems, Inc.) Adobe Flash Player 9 Plugin (HKLM\...\{88D422DB-E9C7-4E16-9D80-2999F4FD6AD9}) (Version: 9.0.45.0 - Adobe Systems, Inc.)

Prawie wszystko zrobione, z wyjątkiem tego odczytu, nadal w Google Chrome stoi jako domyślna wyszukiwarka adware: Chrome: ======= CHR DefaultSearchProvider: Default -> Yahoo! Search CHR DefaultSearchURL: Default -> http://rts.dsrlte.com/?q={searchTerms} 1. Otwórz Notatnik i wklej w nim: C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Uruchom Google Chrome, utworzy nowe preferencje. Zrób ostatni log FRST z opcji Scan (bez Addition i Shortcut). Pokaż też fixlog.txt. .

Widzę tu adware w postaci szczątkowej. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {825c5be7-672f-4c14-9929-48a3a5e1a660}w; C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}w.sys [52928 2014-06-30] (StdLib) R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw.sys [52928 2014-05-22] (StdLib) R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}w; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}w.sys [52928 2014-06-18] (StdLib) HKU\S-1-5-21-1264134706-63761012-746677018-1000\...\Run: [NextLive] => C:\Windows\system32\rundll32.exe "C:\Users\Monika\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l BootExecute: autocheck autochk * auto_reactivate \\?\Volume{ae7c3b46-7879-11e3-87cd-806e6f6e6963}\bootwiz\asrm.bin SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {58972628-D167-4630-91E9-792F4671E2FC} - System32\Tasks\{48DE3E24-0AD2-4E72-BE15-FF589BB2EE2F} => G:\mobilenavigator\MobileNavigator.exe Task: {8A9D976C-654B-4C79-A389-984D8C6A08E6} - System32\Tasks\{0AD98648-70BF-4833-816F-C3B099E4F375} => G:\mobilenavigator\MobileNavigator.exe Task: {B62A20E8-81D2-45EE-947B-CD5A0ED810DD} - System32\Tasks\FoxTab => C:\Users\Monika\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {E5559E67-281F-4BB3-87D0-E843A0C4A8F6} - System32\Tasks\{276B106C-5263-4A7A-9363-20088552A97E} => G:\mobilenavigator\MobileNavigator.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Monika\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE C:\Program Files\Mobogenie3 C:\Program Files\Rock Turner C:\Users\Monika\AppData\Local\Mobogenie C:\Users\Monika\AppData\Roaming\Mobogenie C:\Users\Monika\AppData\Roaming\newnext.me C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Monika\Documents\Mobogenie C:\Windows\System32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}w.sys C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw.sys C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}w.sys Folder: C:\Windows\system32\GroupPolicy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: sc config "PLAY ONLINE. RunOuc" start= demand EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres rts.dsrlte.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Yahoo! Search kierujące do rts.dsrlte.com. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Jesteś bardzo blisko. Nie klikaj prawym na dysk WDC, tylko poziom wyżej na Kanał IDE.

Folder był wcześniej na dysku: 2014-10-12 05:24 - 2014-10-12 07:34 - 00000000 ____D () C:\FRST Jeśli na 100% go nie ma, to już koniec zmagań.

W DelFix żadnych oznak usuwania narzędzi. Skasuj ręcznie foldery C:\FRST i C:\Users\Kami\Desktop\New folder z narzędziami.

System jest potwornie zanieczyszczony. Są aktywne infekcje i adware, więc to może odpowiadać za część objawów (spowolnienie). Jednak restarty podczas grania czy oglądania filmów to pachnie już kierunkiem sprzętowym. Zacznij jednak od usunięcia infekcji. Do przeprowadzenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer\Run: [9608] => C:\ProgramData\Local Settings\Temp\ccapwi.cmd [164214 2009-07-14] ( (Lampi)) HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\Run: [ares] => "C:\Program Files (x86)\Ares\Ares.exe" -h HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\Run: [Google Update] => "C:\Users\Toshiba\AppData\Local\Google\Update\GoogleUpdate.exe" /c HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\Run: [msnmsgr] => ~"C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Toshiba\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\Run: [Mnamay] => C:\Users\Toshiba\AppData\Roaming\Mnamay.exe HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\Run: [AdobeUpdate] => wscript "C:\Users\Toshiba\AppData\Roaming\AdobeX2\invis.vbs" "C:\Users\Toshiba\AppData\Roaming\AdobeX2\bat.bat" HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\Run: [Tiny download manager] => C:\Users\Toshiba\AppData\Local\DM\TinyDM.exe [289752 2014-08-18] (http://www.tinydm.com/) HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\RunOnce: [Microsoft Office Software Protection Platform Service] => C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\ospsvc.exe [12288 2014-10-05] () HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\RunOnce: [standard Dynamic Printing Port Monitor] => C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\NetTcpPortSharing.exe [8192 2014-10-08] () HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\RunOnce: [MFC Managed Interfaces Library] => C:\Users\Toshiba\Videos\mfcmifc.exe [16896 2014-10-05] () HKU\S-1-5-21-2754264385-1261652437-1540506145-1000\...\RunOnce: [Disk Management Snap-in] => C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\shellbrd.exe [11776 2014-10-05] (Microsoft Corporation) AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File R2 PennyBee; C:\Program Files (x86)\PennyBee\PennyBee.exe [57856 2014-08-18] () [File not signed] S2 Microsoft Security Center; C:\Windows\SysWOW64\Explorer\svchost.exe [X] U2 BHDrvx64; No ImagePath S4 sptd; System32\Drivers\sptd.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\Desktop\Google Chrome.lnk -> C:\Users\Toshiba\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Users\Toshiba\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Users\Toshiba\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T ShortcutWithArgument: C:\Users\Toshiba\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Users\Toshiba\AppData\Local\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: HKCU - (No Name) - {8c5878d0-6106-423b-aaa8-144c143dbf44} - No File URLSearchHook: HKCU - (No Name) - {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://pl.v9.com/?utm_source=b&utm_medium=cor SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=409C0026B646B5B2&affID=119357&tsp=5020 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=409C0026B646B5B2&affID=119357&tsp=5020 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T&q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = Toolbar: HKCU - No Name - {8C5878D0-6106-423B-AAA8-144C143DBF44} - No File Toolbar: HKCU - No Name - {B6AC5E3C-5CEB-4E72-B451-F0E1BA983C14} - No File FF Plugin HKCU: @tools.google.com/Google Update;version=3 -> C:\Users\Toshiba\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF Plugin HKCU: @tools.google.com/Google Update;version=9 -> C:\Users\Toshiba\AppData\Local\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\webssearches.xml CHR HKCU\...\Chrome\Extension: [dknkjnkhedbanphkkpbpcgoblmkbfhlf] - C:\Users\Toshiba\AppData\Local\CRE\dknkjnkhedbanphkkpbpcgoblmkbfhlf.crx [2012-09-09] CHR HKLM-x32\...\Chrome\Extension: [dknkjnkhedbanphkkpbpcgoblmkbfhlf] - C:\Users\Toshiba\AppData\Local\CRE\dknkjnkhedbanphkkpbpcgoblmkbfhlf.crx [2012-09-09] CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-08-18] CHR StartMenuInternet: Google Chrome - C:\Users\Toshiba\AppData\Local\Google\Chrome\Application\chrome.exe http://istart.webssearches.com/?type=sc&ts=1408356855&from=exp&uid=TOSHIBAXMK5055GSX_X9SHC3K5TXXX9SHC3K5T CHR HKLM\SOFTWARE\Policies\Google: Policy restriction GroupPolicy: Group Policy on Chrome detected CustomCLSID: HKU\S-1-5-21-2754264385-1261652437-1540506145-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Toshiba\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2754264385-1261652437-1540506145-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Toshiba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2754264385-1261652437-1540506145-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Toshiba\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File CustomCLSID: HKU\S-1-5-21-2754264385-1261652437-1540506145-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Toshiba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-2754264385-1261652437-1540506145-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Toshiba\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {1C94BE2B-C8B2-491E-80D7-956EE5E95F58} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {589CC3AD-1616-4E10-8C12-6D82FEECCADB} - System32\Tasks\DealPlyUpdate => C:\Program Task: {5C49AF9F-0F2F-4EC7-8A70-690DF416D36B} - System32\Tasks\Lyrmix Update => C:\Program Files (x86)\Lyrmix\LyricsmixUpdate.exe Task: {69DD9486-0BD9-4B78-9E16-0528328374FD} - System32\Tasks\ROC_JAN2013_TB_rmv => C:\Program Files (x86)\AVG Secure Search\PostInstall\ROC.exe Task: {A7792290-C43C-428A-9E9D-4E202B6F487A} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2754264385-1261652437-1540506145-1000Core => C:\Users\Toshiba\AppData\Local\Google\Update\GoogleUpdate.exe Task: {CBB8702B-DDA0-415F-8A4B-A51ADCA2A853} - System32\Tasks\Update Service YourFileDownloader => C:\Program Files (x86)\YourFileDownloaderUpdater\YourFileDownloaderUpdater.exe Task: {D830ADE3-C3F6-44BB-90E5-701F2D5E44CC} - System32\Tasks\A4786424 => C:\Users\Toshiba\AppData\Roaming\A4786424.exe Task: {E3FFB9B8-1D38-483F-8F43-4934EA18B7D8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2754264385-1261652437-1540506145-1000UA => C:\Users\Toshiba\AppData\Local\Google\Update\GoogleUpdate.exe Task: {F0AE6224-AF47-4C00-9E8D-73152EA8FCBB} - System32\Tasks\couponsupport-S-649636217 => c:\support\couponsupport.exe [2013-08-18] () Task: C:\Windows\Tasks\couponsupport-S-649636217.job => c:\support\couponsupport.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2754264385-1261652437-1540506145-1000Core.job => C:\Users\Toshiba\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2754264385-1261652437-1540506145-1000UA.job => C:\Users\Toshiba\AppData\Local\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\ProgramData\BitGuard C:\ProgramData\Local Settings C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deinstalator Strony V9.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amazon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitLord C:\Users\Toshiba\AppData\Local\CRE C:\Users\Toshiba\AppData\Roaming\*.exe C:\Users\Toshiba\AppData\Roaming\Babylon C:\Users\Toshiba\AppData\Roaming\OpenCandy C:\Users\Toshiba\AppData\Roaming\systweak C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\*.exe C:\Users\Toshiba\Videos\*.exe DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\Toshiba\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\Toshiba\AppData\Roaming\Opera Software\Opera Stable\Preferences" CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Toshiba\AppData\Local CMD: dir /a C:\Users\Toshiba\AppData\LocalLow CMD: dir /a C:\Users\Toshiba\AppData\Roaming CMD: dir /a C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows CMD: md C:\Users\Toshiba\Desktop\Google_Upload CMD: md C:\Users\Toshiba\Desktop\Google_Upload\Extensions CMD: copy /y "C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\Preferences" C:\Users\Toshiba\Desktop\Google_Upload CMD: copy /y "C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences" C:\Users\Toshiba\Desktop\Google_Upload CMD: xcopy /e /y "C:\Users\Toshiba\AppData\Local\Google\Chrome\User Data\Default\Extensions" C:\Users\Toshiba\Desktop\Google_Upload\Extensions CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware i niechciane instalacje: Bundled software uninstaller, CouponSupport, Installer, Ipla Packages, PDF Creator Packages, PennyBee, Tiny Download Manager (remove only). - Stare wersje: Java™ 6 Update 14, Java™ 7 Update 5. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj cosstminn Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Na Pulpicie utworzyłam też folder o nazwie Google_Upload. Spakuj go do ZIP, shostuj gdzieś i podaj do tego link. .

paweldiabel, jak z kamienia nam to szło i teraz też nie uniknąłeś falstartów. No cóż, wprawdzie wkleiłeś co trzeba, ale FRST nic nie znalazł, a to dlatego, bo przetworzyłeś to aż dwa razy. Teraz powinna być runda numer 4, ale w logu już jest numer 5: Ran by Kami at 2014-10-12 09:27:32 Run:5 Na przyszłość: jeśli skrypt nie ma błędów piśmienniczych, nie może być wykonany więcej niż raz (nie usunie czegoś co usunął już). Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. .

My tu mamy ten problem z rozszerzeniem-fantomem: KLIK. U Ciebie także jest rozszerzenie o identyfikatorze impaepofmnammebeenafgmllpnjaiime i magicznej ścieżce C:\Program Files\Google\Chrome\Application\Extensions\chrome\app: }, "impaepofmnammebeenafgmllpnjaiime": { "active_permissions": { "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "commands": { }, "content_settings": [ ], "creation_flags": 38, "ephemeral_app": false, "events": [ ], "from_bookmark": false, "from_webstore": false, "granted_permissions": { "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ], "explicit_host": [ "http://*/*", "https://*/*" ], "manifest_permissions": [ ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "incognito_content_settings": [ ], "incognito_preferences": { }, "initial_keybindings_set": true, "install_time": "13057602783401220", "location": 8, "newAllowFileAccess": true, "path": "C:\\Program Files\\Google\\Chrome\\Application\\Extensions\\chrome\\app", "preferences": { }, "regular_only_preferences": { }, "state": 1, "was_installed_by_default": false, "was_installed_by_oem": false }, Zrób mi zrzuty ekranu z tych miejsc:- Ustawienia > karta Rozszerzenia > włącz Tryb programisty i zrób zrzut ekranu obejmujący wszystkie rozszerzenia. - Menu z opcjami > Google Chrome - Informacje pokazujące wersję i typ zainstalowanej przeglądarki. Następnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_noocneohefmdhonidldnlhaainpiomkp_0.localstorage C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_ls.hit.gemius.pl_0.localstorage C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_ls.hit.gemius.pl_0.localstorage-journal C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d1qqddufal4d58.cloudfront.net_0.localstorage C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d1qqddufal4d58.cloudfront.net_0.localstorage-journal Folder: C:\Program Files\Google\Chrome\Application Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\system32\GroupPolicyUsers Folder: C:\Windows\SysWOW64\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicyUsers Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\DOMStorage" /s Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage" /s EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 2. Uruchom Google Chrome, przebuduje preferencje. Podaj czy jest jakaś poprawa. I pokaż plik fixlog.txt. .