picasso

Logi DDS nie są obowiązkowe, usuwam. Brakuje za to skanu z GMER.

 

 

Cześć, po podłączeniu kindle'a foldery zamieniły się w pliki.exe których nie można otworzyć. Po instalacji avasta i ponownym podłączeniu kindle'a wszystkie foldery zostałe poddane kwarantannie, wykryty został wirus: "Win32:Trojan-gen", jako źródło podało ścieżkę z końcówką "ipodservice.exe". Próbowałem usunąć "ipodservice.exe" ale bez usuwania iTunes'a wydaje się to być trudne, za to po uwidocznieniu ukrytych plików zauważyłem, że podłączony mam "Dysk wymienny", które nie mogę się pozbyć.

Proszę dostarcz dokładny odczyt z Avast co i gdzie zostało wykryte. Obecnie w systemie brak oznak czynnej infekcji. Ta detekcja "ipodservice" to na pewno był trojan udający oprogramowanie Ipod, a nie właściwy iTunes. W msconfig widać, że wyłączyłeś te dwie pozycje, pierwsza to szkodliwa imitacja:

 

MSCONFIG\startupreg: iPod Service Module => C:\Users\Macio\AppData\Roaming\System32\ipodservices.exe

MSCONFIG\startupreg: iTunesHelper => "C:\Program Files\iTunes\iTunesHelper.exe"

 

Natomiast jeśli chodzi o dysk przenośny, to foldery raczej nie zmieniły się w pliki exe, tylko zostały ukryte (widać je w logu), a infekcja dorobiła pliki o nazwach jak foldery, by namówić do ich kliknięcia i uruchomienia infekcji. Nie rozumiem co masz na myśli z podłączonym niechcianym "Dyskiem wymiennym", czy to oznacza, że jeden z tych dysków nie jest pożądany (?):

 

################## | Disk Information |
 

H:\ -> Removable disk # 1 Gb (1 Gb free - 95%) [Kindle] # FAT32

I:\ -> Removable disk # 7 Gb (3 Gb free - 41%) [uSB DISK] # NTFS
 

################## | H:\ - Removable drive (FAT32) |
 

[29/09/2013 - 15:54:36 | SHD] - H:\.active-content-data

[22/07/2014 - 09:25:54 | A | 0 Ko] - H:\DONT_HALT_ON_REPAIR

[29/09/2014 - 18:59:08 | SHD] - H:\documents

[03/10/2014 - 22:47:58 | SHD] - H:\system

[04/10/2014 - 00:51:10 | SHD] - H:\eBooks
 

################## | I:\ - Removable drive (NTFS) |
 

[27/09/2014 - 12:20:17 | A | 847 Ko] - I:\RCXAEF.tmp

[15/09/2014 - 19:13:03 | SHD] - I:\soa.s3

[01/04/2014 - 16:53:06 | A | 111 Ko] - I:\CV Maciej Żyliński.pdf

[01/05/2013 - 22:22:05 | RASH | 0 Ko] - I:\autorun.inf

[15/11/2012 - 19:57:50 | A | 22376 Ko] - [(1/55)] - I:\vlc-2.0.4-win32.exe

[01/10/2014 - 13:49:19 | A | 20 Ko] - I:\Infusion pumps.docx

[27/09/2014 - 10:22:20 | A | 46 Ko] - I:\Autokar.doc

[01/05/2013 - 22:03:04 | SHD] - I:\RECYCLER

[07/07/2014 - 20:34:31 | SHD] - I:\12 Years A Slave 2013 1080p BRRip x264 AC3-JYK

[04/08/2014 - 20:43:54 | SHD] - I:\The Grand Budapest Hotel (2014)

[12/09/2014 - 17:16:11 | SHD] - I:\soa

[23/09/2014 - 09:19:31 | SHD] - I:\System Volume Information

 

Dodatkowo przy każdym włączeniu komputera nie czyta myszki i dopiero po ściągnieciu sterowników rozpoznaje urządzenie.

To już raczej inny problem spoza infekcji. Czy ta mysz działa sprawnie na innym komputerze?

 

 

---

Na teraz więc odkrycie zasadniczych folderów na urządzeniach i drobne dodatkowe czyszczenie:

 

1. Dyski przenośne mają być widziane pod tymi samymi literami H i I co w logu USBFix. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iPod Service Module
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
FF SearchEngineOrder.1: v9
FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Macio\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File
C:\Program Files\mozilla firefox\plugins
C:\Users\Macio\AppData\Roaming\System32
I:\autorun.inf
I:\RCXAEF.tmp
RemoveDirectory: I:\RECYCLER
CMD: attrib /d /s -s -h F:\*
CMD: attrib /d /s -s -h F:\*
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt.

 

 

 

.

W systemie brak oznak czynnej infekcji, z dziwnych rzeczy widać tylko te dwie krzaczkowate usługi, ale one i tak są nieczynne (wybrakowane + wyłączone). Te obiekty nie wyglądają zresztą w ogóle na infekcję ZeroAccess, która notabene jest obecnie w hibernacji (po zamknięciu botnetu). I mam pytanie co to za pobrany plik, który ma prefiks jakby był zaszyfrowany przez infekcję:

 

2014-10-02 12:16 - 2014-10-02 12:16 - 00008361 _____ () C:\Users\Robert\Downloads\oie_9143125ppTrWX3C.png.crypted

 

Natomiast widać tu inne rzeczy do naprawy, czyli wpis SecurityProviders w formie z systemu XP oraz mnóstwo wprowadzonych polityk (nieczynne na zerze). Tak jak w tym poście: KLIK. Był tu ewidentnie używany jaki program do "resetu" ustawień, który narobił błędów i wprowadził niepotrzebne obiekty.

 

 

Nie dostarczam raportów OTL, gdyż raz za razem mi się programik zawiesza (w trybie awaryjnym też). Staje w momencie, gdy na tapecie są ustawienia Firefoxa.

Prawdopodobnie w preferencjach Firefox jest szczególne formatowanie.

 

 

od 2-3 miesięcy zdarzyła się parokrotnie następująca sytuacja z MBAM Premium

Może to wynik aktywności innych programów zabezpieczających, a jest tego dość sporo.

 

 

---

Czyli na teraz proste korekty:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S4 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數Ā" [X]
S4 楗敳潂瑯獁楳瑳湡tǮ"; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數Ā" [X]
U3 BcmSqlStartupSvc; No ImagePath
U2 CLKMSVC10_3A60B698; No ImagePath
U2 CLKMSVC10_C3B3B687; No ImagePath
U2 DriverService; No ImagePath
U2 iATAgentService; No ImagePath
U2 idealife Update Service; No ImagePath
U3 IGRS; No ImagePath
U2 IviRegMgr; No ImagePath
U2 nvUpdatusService; No ImagePath
U2 Oasis2Service; No ImagePath
U2 PCCarerService; No ImagePath
U2 ReadyComm.DirectRouter; No ImagePath
U2 RichVideo; No ImagePath
U2 RtLedService; No ImagePath
U2 SeaPort; No ImagePath
U2 SoftwareService; No ImagePath
U3 SQLWriter; No ImagePath
U0 SR; No ImagePath
U2 srservice; No ImagePath
U2 Stereo Service; No ImagePath
SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
HKU\.DEFAULT\Software\Classes\exefile: "%1" %* 
HKU\S-1-5-19\Software\Classes\exefile: "%1" %* 
HKU\S-1-5-20\Software\Classes\exefile: "%1" %* 
HKU\S-1-5-21-248854557-3209024503-3998099355-1000\Software\Classes\exefile: "%1" %* 
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoViewOnDrive] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [DisableLocalMachineRun] 0
HKLM\...\Policies\Explorer: [DisableLocalMachineRunOnce] 0
HKLM\...\Policies\Explorer: [DisableCurrentUserRun] 0
HKLM\...\Policies\Explorer: [DisableCurrentUserRunOnce] 0
HKLM\...\Policies\Explorer: [NoViewContextMenu] 0
HKLM\...\Policies\Explorer: [NoShellSearchButton] 0
HKLM\...\Policies\Explorer: [NoFind] 0
HKLM\...\Policies\Explorer: [NoFile] 0
HKLM\...\Policies\Explorer: [HideClock] 0
HKLM\...\Policies\Explorer: [NoTrayContextMenu] 0
HKLM\...\Policies\Explorer: [NoTrayItemsDisplay] 0
HKLM\...\Policies\Explorer: [NoSetFolders] 0
HKLM\...\Policies\Explorer: [NoDevMgrUpdate] 0
HKLM\...\Policies\Explorer: [NoSetTaskbar] 0
HKLM\...\Policies\Explorer: [NoDeletePrinter] 0
HKLM\...\Policies\Explorer: [NoDFSTab] 0
HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0
HKLM\...\Policies\Explorer: [NoLogoff] 0
HKLM\...\Policies\Explorer: [NoWindowsUpdate] 0
HKLM\...\Policies\Explorer: [NoEncryptOnMove] 0
HKLM\...\Policies\Explorer: [NoRunasInstallPrompt] 0
HKLM\...\Policies\Explorer: [NoResolveSearch] 0
HKLM\...\Policies\Explorer: [NoSaveSettings] 0
HKLM\...\Policies\Explorer: [NoHardwareTab] 0
HKLM\...\Policies\Explorer: [NoStartMenuSubFolders] 0
HKLM\...\Policies\Explorer: [NoDesktop] 0
ShellIconOverlayIdentifiers: [MemopalBackedUp] -> {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} => No File
ShellIconOverlayIdentifiers: [MemopalError] -> {B9CA6E12-7975-4997-B5BD-CA12ECE0FEAD} => No File
ShellIconOverlayIdentifiers: [MemopalPartiallyBackedUp] -> {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} => No File
ShellIconOverlayIdentifiers: [MemopalToBackup] -> {2CDD871E-60EB-40BD-9721-A1CB57042F75} => No File
ShellIconOverlayIdentifiers-x32: [MemopalBackedUp] -> {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} => No File
ShellIconOverlayIdentifiers-x32: [MemopalError] -> {B9CA6E12-7975-4997-B5BD-CA12ECE0FEAD} => No File
ShellIconOverlayIdentifiers-x32: [MemopalPartiallyBackedUp] -> {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} => No File
ShellIconOverlayIdentifiers-x32: [MemopalToBackup] -> {2CDD871E-60EB-40BD-9721-A1CB57042F75} => No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File
Handler-x32: WSWSVCUchrome - {1CA93FF0-A218-44F1 - No File
SearchScopes: HKLM-x32 - DefaultScope value is missing.
FF Plugin: @java.com/DTPlugin,version=11.20.2 -> C:\Program Files\Java\jre1.8.0_20\bin\dtplugin\npDeployJava1.dll No File
FF Plugin: @java.com/JavaPlugin,version=11.20.2 -> C:\Program Files\Java\jre1.8.0_20\bin\plugin2\npjp2.dll No File
C:\ProgramData\Temp
DeleteKey: HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
DeleteKey: HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
DeleteKey: HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies
EmptyTemp:

 

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

Dzięki za folder Google. W pliku Secure Preferences jest taka sama konstrukcja co wcześniej:

 

         },
         "impaepofmnammebeenafgmllpnjaiime": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "commands": {

            },
            "content_settings": [  ],
            "creation_flags": 38,
            "ephemeral_app": false,
            "events": [  ],
            "from_bookmark": false,
            "from_webstore": false,
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "incognito_content_settings": [  ],
            "incognito_preferences": {

            },
            "initial_keybindings_set": true,
            "install_time": "13056938925609286",
            "location": 8,
            "newAllowFileAccess": true,
            "path": "C:\\Program Files\\Google\\Chrome\\Application\\Extensions\\chrome\\app",
            "preferences": {

            },
            "regular_only_preferences": {

            },
            "state": 1,
            "was_installed_by_default": false,
            "was_installed_by_oem": false
         },

Czyli znów ta ścieżka kierująca do C:\Program files. W profilu brak oznak istnienia rozszerzenia, poza tymi bazami dodatkowymi SQL:

 

C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage

C:\Users\pb\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage-journal

 

Dodatkowo, ale to już mały szczegół bez wpływu na system, nie ma Firefox w systemie, a FRST nadal notuje odczyt z pliku extensions.ini.

 

 

Uruchom dodatkowe szukanie, przy włączonym trefnym rozszerzeniu Google. W SystemLook x64 wklej do okna:

 

:folderfind
*impaepofmnammebeenafgmllpnjaiime*
 
:filefind
*impaepofmnammebeenafgmllpnjaiime*
extensions.ini
 
:regfind
impaepofmnammebeenafgmllpnjaiime
 
:reg
HKCU\Software\Google /s
HKLM\SOFTWARE\Google /s
HKLM\SOFTWARE\Wow6432Node\Google /s
 
:dir
C:\Program Files\Google /s
C:\Program Files (x86)\Google /s
C:\Program Files
C:\Program Files (x86)
C:\ProgramData
C:\Users\pb\AppData\Local
C:\Users\pb\AppData\LocalLow
C:\Users\pb\AppData\Roaming
 
:contents
C:\Users\pb\AppData\Roaming\appdataFr2.bin

 

Klik w Look i podaj wynikowy raport.

 

 

 

.

Będziemy szukać skąd to wraca. Dodaj mi następujące dane:

 

1. Tak, proszę o nowe logi z FRST z opcji Scan.

 

2. Dodatkowo, skopiuj na Pulpit cały folder C:\Users\pb\AppData\Local\Google, zapakuj do ZIP, shostuj gdzieś i podaj mi link do tego.

 

 

 

.

Nie wszystko się odinstalowało kompletnie, również inne poprawki wymagane. Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {29b136c9-938d-4d3d-8df8-d649d9b74d02}w64; C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys [61120 2014-04-24] (StdLib)
U5 AppMgmt; C:\Windows\system32\svchost.exe [27648 2011-03-01] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 SBIOSIO; \??\C:\Users\Malin\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X]
S2 Update BuzzSearch; "C:\Program Files (x86)\BuzzSearch\updateBuzzSearch.exe" [X]
S2 Util BuzzSearch; "C:\Program Files (x86)\BuzzSearch\bin\utilBuzzSearch.exe" [X]
HKLM-x32\...\Run: [fst_pl_186] => [X]
BootExecute:
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=565EC485080D6F4D
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409495696&from=tt4u&uid=ST1000LM024XHN-M101MBB_S2RQJ9DC403197
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=565EC485080D6F4D
BHO-x32: No Name -> {5cf5a690-c8f4-488e-9d20-f21aef602d41} -> No File
Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Malin\AppData\Roaming\BabSolution\CR\Delta.crx [2013-06-17]
FF Plugin-x32: @java.com/DTPlugin,version=10.25.2 -> C:\windows\SysWOW64\npDeployJava1.dll (Oracle Corporation)
FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
CustomCLSID: HKU\S-1-5-21-3183270048-2252803029-1860483952-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Malin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3183270048-2252803029-1860483952-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Malin\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
CustomCLSID: HKU\S-1-5-21-3183270048-2252803029-1860483952-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Malin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {49F9BD90-5711-4379-98FE-55D2D3460632} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.0.9\SymErr.exe
Task: {7D6ADD17-3AA2-40C5-BCDE-1F7E3076F979} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.0.9\WSCStub.exe
Task: {B6675B91-2B3B-456E-954F-A184DFFC1CDB} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files (x86)\Norton Internet Security\Engine\19.9.0.9\SymErr.exe
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\BitGuard
C:\Users\Malin\AppData\Roaming\BabSolution
C:\Windows\System32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys
C:\Windows\System32\Tasks\Norton Internet Security
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\system32\nvinitx.dll" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "c:\windows\syswow64\nvinit.dll" /f
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

Logi z DDS nie są obowiązkowe, usuwam. Brakuje za to GMER.

 

Witam, od jakiegoś czasu mój laptop bardzo stracil n szybkości. Często jest tak ze klikając na przegladarke chrome wgl nie reaguje, dodam ze jakiś czas temu anty virus wykryl trojana, usunalem. Nie jestem pewny czy został do końca zlikwidowany, wczoraj mój komputer zaatakowal virus o nazwie Fabulous discord o typie aware. Choc go usunalem to laptop wyraźnie spowolnil.

Przedstaw co wykrył antywirus i gdzie. W raportach są jedynie szczątki adware i to nie może być przyczyną wolnego systemu. Tu prędzej spowolnienie może powodować coś wręcz przeciwnego, czyli kobyła zabezpieczająca McAfee Internet Security Suite. Nawiasem mówiąc, widzę że instalowałeś badziewne programy:

- Lavasoft Ad-aware 6: kompletny archaizm z roku 2003 (!), całkowicie bezużyteczny i nieskuteczny w dzisiejszych czasach.

- SpyHunter: program wątpliwej repitacji, był na czarnej liście. Z daleka od niego.

 

 

---

Na razie doczyść szczątki adware i programów, nie powinno to jednak nic przyśpieszyć:

 

1. Przez Panel sterowania odinstaluj śmiecia Host App Service. Przy ewentualnym błędzie deinstalacji kontynuuj dalej:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-2253055635-1566063098-3438977135-1001\...\Run: [Pokki] => "%LOCALAPPDATA%\Pokki\Engine\HostAppServiceUpdater.exe" /LOGON
GroupPolicy: Group Policy on Chrome detected 
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.24.15\npGoogleUpdate3.dll No File
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
Task: {513AC4F2-F651-4192-A54F-DBFB018871D2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {B6222F43-504D-408A-91B7-7C5DF8246766} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
C:\sh4ldr
C:\shldr
C:\shldr.mbr
C:\spyhunter.fix
C:\Program Files (x86)\Enigma Software Group
C:\Program Files (x86)\Lavasoft
C:\Program Files (x86)\GoSavve
C:\Program Files (x86)\YouttubbeeAdBlloCkE
C:\ProgramData\7678176e9a8d3a03
C:\ProgramData\GoSavve
C:\ProgramData\Pokki
C:\ProgramData\YouttubbeeAdBlloCkE
C:\Users\HomeGroupUser$
C:\Users\Administrator
C:\Users\Gość
C:\Users\mrukk\AppData\Local\Chromatic Browser
C:\Users\mrukk\AppData\Local\Comodo
C:\Users\mrukk\AppData\Local\Pokki
C:\Users\mrukk\AppData\Local\Torch
C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk
C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk
C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pokki Start Menu.lnk
C:\Users\mrukk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lavasoft Ad-aware 6
C:\Users\mrukk\Downloads\SpyHunter 4.16.5.4290 [Eng]+patch.rar
C:\Users\mrukk\Downloads\Thumbs.db
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.INI
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

Akcje pomyślnie wykonane. Finalizujemy temat:

 

1. Jakoś pominęłam deinstalację śmiecia Bundled software uninstaller.

 

2. Usuń używane narzędzia za pomocą DelFix.

 

3. Proponuję też zaopatrzyć się w darmową wersję Malwarebytes Anti-Exploit. To ochrona przeglądarek oraz Java przed eksploitami / atakami, czyli m.in. infekcjami "policyjnymi".

 

4. Cały system do aktualizacji z Windows Update: KLIK. Stan obecny, brak SP1, IE11 i reszty łatek:

 

Platform: Windows 7 Home Premium (X64) OS Language: Polski (Polska)

Internet Explorer Version 8

 

 

 

.

Plik pomyślnie podstawiony. Powiedz mi więc jakie obecnie są problemy w systemie.

 

 

Drugą "dziwną" rzeczą jaką zauważyłem to z prawokliku "Nowy" - na dysku C mogę utworzyć tylko "Folder". Brak pozostałych elementów które normalnie są do dyspozycji np: na dysku D czy pulpicie. Zrzut poniżej.

To normalne przy włączonym UAC, u mnie tak samo jest w systemie. Lokalizacja C jest chroniona. Po wyłączeniu UAC menu kontekstowe się rozszerza.

 

 

Dlaczego na moim laptopie, który też odpala się nie z wbudowanego konta administratora lecz konta użytkownika

Ja w ogóle nie mówię o wbudowanym w system koncie "Administrator" tylko o koncie użytkownika z uprawnieniami administratora. I pytaniem jest właśnie czy na obu komputerach jest identyczne ustawienie UAC. Włączony UAC powoduje, że konto administratorskie pracuje częściowo w środowisku ograniczonym (kontekst grupy Użytkownicy) i nakłada konieczność podnoszenia uprawnień opcją "Uruchom jako Administrator".

 

 

 

.

Nie wiem jak Ty to sprawdzałeś, przecież jest tu dokładnie ten problem i dlatego system straszny mozolny + charczenie. Na podstawowym kanale IDE jawnie stoi Bieżący tryb transferu: Tryb PIO. Z prawokliku odinstaluj ten kanał, zresetuj system, Windows przebuduje IDE i jeśli ustawi DMA, system znacznie przyśpieszy. Avast będziesz mógł również przywrócić na miejsce.

Czy sprawdziłeś AVG 2014? Czy nadal jest problem z "z powolnym uruchamianiem systemu, powolnym ładowaniem stron internetowych"?

 

 

Wykonałem całą aktualizacje systemu łącznie z Service Pack 1 ale IE 11 nie było aktualizacji.

Czy na pewno nowe wyszukiwanie na Windows Update nie pokazuje jakiś aktulizacji do pobrania? Rundy z wyszukiwaniem aktualizacji należy powtórzyć tyle razy, aż będzie zwrot braku dostępnych aktualizacji.

 

 

 

.

Odinstalowałem avasta i niewiele to dało, chodzi może trozeczkę szybciej.

(...)

Zauważyłem natomiast że głośniczki zaczeły trzeszczeć już w dniu wczorajszym, z czym to może być związane sprzęt czy coś innego jak to sprawdzić.

vs.

 

1. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Proszę pokaż mi ustawienia kontrolera dysku.

 

 

 

.

Akcja:

 

1. Pobierz plik: KLIK. Umieść wprost na C:\. Również FRST.exe przenieś z folderu C:\Users\mops\Desktop\Naprawa\FRST\Nowe2 na C:\.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: copy /y C:\gameux.dll C:\Windows\System32\gameux.dll
CMD: copy /y C:\gameux.dll C:\Windows\winsxs\x86_microsoft-windows-gameexplorer_31bf3856ad364e35_6.1.7601.18020_none_43f8c7a01f8af8f9\gameux.dll

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

 

3. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST: KLIK. Kliknij w Fix.

 

4. Zaloguj się z powrotem do Windows i dostarcz wynikowy fixlog.txt.

 

 

 

Skan wykonany, co do Error opening process - system odpalony z konta użytkownika a nie administratora.

Limitowane uprawnienia uniemożliwiają podgląd pewnych danych. Wymagany tryb "Uruchom jako Administrator".

 

 

 

 

.

Mnie chodziło o podanie raportu z usuwania jakimś skryptem OTL, jest w folderze C:\_OTL. I może podaj mi link gdzie wcześniej temat obrabiano.

 

 

ale nadal mam aktywna w Internet exploret przegladarke sweet-page, moge ja recznie usunac , ale zaraz wraca do poprzedniego ustawienia i tak w kółko.

skoro nie mam juz na kompie spyhuntera jaki mozesz mi polecic program ?. Przed spyhunterem miałam anti - malware, ale on tez nie radził sobie z usunięciem qone8. Aktualnie nie mam zadnego antimalwara i nie wiem jak sprawdzić czy qone8 jest nadal aktywny na moim kompie.

W raportach FRST nie było oznak qone8, natomiast wyszukiwarkę sweet-page usuwałam skryptem FRST:

 

Content of fixlist:

*****************

SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403639816&from=cor&uid=395049983_2101041_A800D0C6&q={searchTerms}

SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1403639816&from=cor&uid=395049983_2101041_A800D0C6&q={searchTerms}

*****************
 

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.

"HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}" => Key deleted successfully.
 

==== End of Fixlog ====

 

Usuwał to także wcześniej i AdwCleaner. Czyli to wróciło po usuwaniu FRST? Poproszę o nowy log FRST z opcji Scan.

 

 

Poniżej jest komunikat o utraconych logach , który mi się wyświetla po kazdym restarcie

Nie wiem czy to jest jakiś problem, wg komunikatu ten obiekt zgłasza zażalenie na temat braku logów w folderze Temp. Komunikat powinien być generowany przez to zadanie Harmonogramu:

 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {0B764594-54ED-40B9-8454-330107556ADD} - System32\Tasks\ASUS\i-Setup15.34.55 => C:\Windows\RS880_Chipset_V51010008_Vista\AsusSetup.exe [2008-08-01] (ASUSTek)

 

Proponuję to po prostu wyłączyć. Uruchom Autoruns i w karcie Scheduled Tasks odfajkuj to zadanie. Zresetuj system i potwierdź, iż błąd ustąpił.

 

 

 

 

.

Nadal występują chwilowe zawieszki przy różnych czynnościach komunikat "brak odpowiedzi". Nawet tworząc log z FRST okienko na zmianę działało i wywalało komunikat w kilkusekundowych odstępach.

1. Na początek wykonaj test z czystym rozruchem: KLIK. Podaj rezultaty czy są jakieś zmiany.

 

2. W Dzienniku zdarzeń są też takie błędy nagrane wczoraj:

 

System errors:

=============

Error: (10/01/2014 08:06:12 PM) (Source: volsnap) (EventID: 14) (User: )

Description: Kopie w tle woluminu C: zostały przerwane z powodu usterki We/Wy w woluminie C:.
 

Error: (10/01/2014 07:31:33 PM) (Source: Service Control Manager) (EventID: 7022) (User: )

Description: Usługa Windows Update zawiesiła się podczas uruchamiania.
 

Error: (10/01/2014 07:26:31 PM) (Source: Service Control Manager) (EventID: 7009) (User: )

Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Microsoft .NET Framework NGEN v4.0.30319_X86.
 

Error: (10/01/2014 07:21:04 PM) (Source: Service Control Manager) (EventID: 7022) (User: )

Description: Usługa Udostępnianie połączenia internetowego (ICS) zawiesiła się podczas uruchamiania.

 

Nie wiem czy błędy "Upłynął limit czasu..." + "...zawiesiła się podczas uruchamiania" są nadal aktualne po deinstalacji Avast. Natomiast ten pierwszy z "usterką We/Wy w woluminie C:" może oznaczać jakiś problem z dyskiem. Na wszelki wypadek możesz założyć nowy temat w dziale Hardware dostarczając dane wymagane działem: KLIK.

 

 

Zastanawia mnie jeszcze dlaczego w zasobniku ostały ślady po usuniętych aplikacjach.

Tu nie ma nic dziwnego. Te szczątkowe śmieci możesz usunąć narzędziem Fix-it resetującym obszar powiadomień: KLIK.

 

 

No i w raporcie Addition jest chyba spory bałagan, ale pozostawiam to Twojej analizie.

Do czego konkretnie zmierzasz?

 

 

 

.

Tytuł tematu wzbogacam o nazwę zagrożenia wykrytego przez ESET. ESET wykrył to samo, nie usunął, ale FRST sprawnie to wykończył. W nowym logu brak oznak infekcji.

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Na wszelki wypadek zrób jeszcze skan za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Jeśli coś wykryje, dostarcz raport.

 

 

.

Na zakończenie:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji te trzy programy:

 

==================== Installed Programs ======================
 

Java 7 Update 60 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217040FF}) (Version: 7.0.600 - Oracle)

Mozilla Firefox 30.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 30.0 (x86 pl)) (Version: 30.0 - Mozilla)

Opera Stable 20.0.1387.91 (HKLM-x32\...\Opera 20.0.1387.91) (Version: 20.0.1387.91 - Opera Software ASA)

 

 

 

.

Avast wykrył tylko śmieci w katalogu Pobieranie oraz jakiś plik PHP w folderze wyglądającym jak kopia strony z FTP. Myślę, że możemy kończyć. Temat rozwiązany. Zamykam.

Wdróż następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [165784 2014-06-14] (APN LLC.)
S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-22] (BonanzaDeals)
S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-22] (BonanzaDeals)
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-16] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [68608 2014-09-16] (globalUpdate) [File not signed]
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [528896 2014-09-16] (Fuyu LIMITED) [File not signed]
Task: {1918ED80-B514-42D0-9C09-296DBD49B40E} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-3 => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-3.exe [2014-09-16] (home) 
Task: {37B913C4-B89D-4300-8D14-0DE14F5CBD34} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-1 => C:\Program Files (x86)\TheHDvid-Codec V10\TheHDvid-Codec V10-codedownloader.exe [2014-09-16] (home) 
Task: {44B759DF-578E-4C34-A4DA-6237FE9E7B79} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-4 => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-4.exe [2014-09-16] (home) 
Task: {46359AF1-9F2D-4F7A-820E-F6EC31330ACD} - System32\Tasks\5f5c1887-7282-49a1-9f9a-421c8f6a508c => C:\Program Files (x86)\TheHDvid-Codec V10\5f5c1887-7282-49a1-9f9a-421c8f6a508c.exe [2014-09-16] () 
Task: {50B546FA-3D3D-4B82-80FC-2D965F15BDD3} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5_user => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5.exe [2014-09-16] (home) 
Task: {5ECB2F44-CA5A-4E4C-B96E-A6BCA981433C} - System32\Tasks\BonanzaDealsUpdate => C:\Program 
Task: {710ACE3C-6CD0-41EE-99A9-DA18680D11FE} - System32\Tasks\FTdownloader V4.0-updater => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe [2013-10-18] (installdaddy) 
Task: {7191534E-9094-40DC-978A-421E4C2B857F} - System32\Tasks\Update Bonanza => C:\Users\Samsung\AppData\Roaming\UpdateBonanza\UpdateProc\UpdateTask.exe 
Task: {77D86B1B-E003-4CB7-BC94-23F8DB28D1F7} - System32\Tasks\Digital Sites => C:\Users\Samsung\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe 
Task: {8EE53436-0C5F-4544-99E9-3CFC5759ADF8} - System32\Tasks\DigitalSite => C:\Users\Samsung\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe 
Task: {A025987E-000B-4B70-B1E7-7E1E9065E3FE} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-16] (globalUpdate) 
Task: {A61AD63B-6C1D-4484-831C-5A5F07E90BEC} - System32\Tasks\Bonanza => C:\Users\Samsung\AppData\Roaming\Bonanza\UpdateProc\UpdateTask.exe 
Task: {C1F8E1D9-51F2-4603-A725-A2DA7B9324B6} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-2 => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-2.exe [2014-09-16] (home) 
Task: {C60E3E83-0968-4F87-8415-DBFD48A83D59} - System32\Tasks\FTdownloader V4.0-codedownloader => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe [2013-10-18] (installdaddy) 
Task: {CD2FFC2B-FF74-472C-800F-F2252D395FDC} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5 => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5.exe [2014-09-16] (home) 
Task: {E1CEAD6D-9EB5-40A4-8770-1FEACCD9AA02} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-7 => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-7.exe [2014-09-16] (home) 
Task: {E46B65D5-2D2D-423C-9611-28D3B88586DD} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe [2014-09-16] (globalUpdate) 
Task: {E7148D0F-0F49-4164-80CF-CACF5363A4DB} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-22] (BonanzaDeals) 
Task: {EEBDD3C0-7494-422B-8272-2DC2ACAE0127} - System32\Tasks\9ce26207-004f-4300-a331-6180bb5fcd46 => C:\Program Files (x86)\TheHDvid-Codec V10\9ce26207-004f-4300-a331-6180bb5fcd46.exe [2014-09-16] (home) 
Task: {F4B549BD-2694-474E-8C75-41AD97022C97} - System32\Tasks\FTdownloader V4.0-enabler => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe 
Task: {F890E564-F29F-44FD-ABC8-BDB5DB2F0882} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-6 => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-6.exe [2014-09-16] (home) 
Task: {FEBE0BC0-775F-40D3-9D48-A079BC7ACC1B} - System32\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-11 => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-11.exe [2014-09-16] (home) 
Task: {FEF2DCD2-3B10-4A68-9397-E399C9CB69AD} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-22] (BonanzaDeals) 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-1.job => C:\Program Files (x86)\TheHDvid-Codec V10\TheHDvid-Codec V10-codedownloader.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-11.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-11.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-2.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-2.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-3.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-3.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-4.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-4.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5_user.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-5.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-6.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-6.exe 
Task: C:\windows\Tasks\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-7.job => C:\Program Files (x86)\TheHDvid-Codec V10\5cdd92e2-7487-4ed0-b4ba-8751a19b09d6-7.exe 
Task: C:\windows\Tasks\5f5c1887-7282-49a1-9f9a-421c8f6a508c.job => C:\Program Files (x86)\TheHDvid-Codec V10\5f5c1887-7282-49a1-9f9a-421c8f6a508c.exe 
Task: C:\windows\Tasks\9ce26207-004f-4300-a331-6180bb5fcd46.job => C:\Program Files (x86)\TheHDvid-Codec V10\9ce26207-004f-4300-a331-6180bb5fcd46.exe 
Task: C:\windows\Tasks\Bonanza.job => C:\Users\Samsung\AppData\Roaming\Bonanza\UpdateProc\UpdateTask.exe
Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe 
Task: C:\windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe 
Task: C:\windows\Tasks\Digital Sites.job => C:\Users\Samsung\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe 
Task: C:\windows\Tasks\DigitalSite.job => C:\Users\Samsung\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe 
Task: C:\windows\Tasks\FTdownloader V4.0-codedownloader.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-codedownloader.exe 
Task: C:\windows\Tasks\FTdownloader V4.0-enabler.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-enabler.exe 
Task: C:\windows\Tasks\FTdownloader V4.0-updater.job => C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-updater.exe 
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\windows\Tasks\Update Bonanza.job => C:\Users\Samsung\AppData\Roaming\UpdateBonanza\UpdateProc\UpdateTask.exe
HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Nation toolbar\vprot.exe [2556744 2014-04-28] ()
HKLM-x32\...\Run: [ApnTBMon] => C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1956760 2014-06-14] (APN)
HKLM-x32\...\Run: [tuto4pc_pl_21] => C:\Program Files (x86)\tuto4pc_pl_21\tuto4pc_pl_21.exe [3991024 2013-10-11] ()
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [738496 2013-10-22] ()
HKU\S-1-5-21-4118013680-3836196915-2330699128-1001\...\Run: [NTRedirect] => C:\windows\SysWOW64\rundll32.exe "C:\Users\Samsung\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run
HKU\S-1-5-21-4118013680-3836196915-2330699128-1001\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Samsung\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 716fea90021047d39d23c92ef6bd8982-8ee9d026ff9168386cb81b9362f1b77a823ad294 --CMPID 0913b
HKU\S-1-5-21-4118013680-3836196915-2330699128-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Samsung\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)
AppInit_DLLs: c:\programdata\bitguard\2.7.1769.27\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll => c:\programdata\bitguard\2.7.1769.27\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll File Not Found
AppInit_DLLs-x32: c:\programdata\bitguard\2.7.1769.27\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\bitguard.dll => "c:\programdata\bitguard\2.7.1769.27\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\bitguard.dll" File Not Found
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
ShortcutWithArgument: C:\Users\Samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=98372089841E1D18&affID=119357&tsp=5011
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
SearchScopes: HKLM - {3CD242FD-3221-4896-B3F0-1AB473ED083A} URL = http://www.bing.com/search?q={searchTerms}&form=IE10TR&src=IE10TR&pc=MASMJS
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=98372089841E1D18&affID=119357&tsp=5011
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410890247&from=ild&uid=HitachiXHTS547575A9E384_J1140021GBV31KGBV31KX&q={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
BHO: FTdownloader V4.0 -> {11111111-1111-1111-1111-110311551174} -> C:\Program Files (x86)\FTdownloader V4.0\FTdownloader V4.0-bho64.dll (installdaddy)
BHO: TheHDvid-Codec V10 -> {11111111-1111-1111-1111-110611331115} -> C:\Program Files (x86)\TheHDvid-Codec V10\TheHDvid-Codec V10-bho64.dll (home)
BHO-x32: TheHDvid-Codec V10 -> {11111111-1111-1111-1111-110611331115} -> C:\Program Files (x86)\TheHDvid-Codec V10\TheHDvid-Codec V10-bho.dll (home)
BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO-x32: delta Helper Object -> {C1AF5FA5-852C-4C90-812E-A7F75E011D87} -> C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com)
BHO-x32: BonanzaDeals -> {fe063412-bea4-4d76-8ed3-183be6220d17} -> C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals)
Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com)
Toolbar: HKLM-x32 - No Name - {95B7759C-8C7F-4BF1-B163-73684A933233} - No File
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals)
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 -> C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\istartsurf.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\nation-secure-search.xml
FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Nation toolbar\FireFoxExt\18.1.0.443
FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Samsung\AppData\Roaming\Mozilla\Firefox\Profiles\tmh9kbtt.default\extensions\faststartff@gmail.com
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Samsung\AppData\Roaming\BabSolution\CR\Delta.crx [2013-09-17]
CHR HKLM-x32\...\Chrome\Extension: [lgnbhdnimikkoodkogjlcllngimhlapp] - C:\Program Files (x86)\FTDownloader.com\FTDownloader10.crx [2013-06-26]
CHR HKLM-x32\...\Chrome\Extension: [pelmeidfhdlhlbjimpabfcbnnojbboma] - C:\Users\Samsung\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtabv3.crx [2014-09-16]
CHR HKLM-x32\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files (x86)\Gophoto.it\gophotoit16.crx [2013-08-08]
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Gophoto.it
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\DSearchLink
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TUTO4PC
C:\Users\Samsung\daemonprocess.txt
C:\Users\Samsung\AppData\Local\globalUpdate
C:\Users\Samsung\AppData\Roaming\BabSolution
C:\Users\Samsung\AppData\Roaming\Babylon
C:\Users\Samsung\AppData\Roaming\WebExtend
C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals
C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FTDownloader.com
C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
C:\Users\Samsung\Desktop\FTDownloader.lnk
C:\Users\Samsung\Desktop\Search.lnk
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search
Folder: C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\Samsung\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

 

Akamai NetSession Interface, Ask Toolbar, AVG Nation toolbar, BitGuard, Bonanza Deals, Delta Chrome Toolbar, Delta toolbar, FTdownloader V4.0, HDVidCodec, Mobogenie, PDF Writer Packages, Skype Packages, TheHDvid-Codec V10, tuto4pc_pl_21, Update for PDF Writer, Update_for_BonanzaDeals, WindowsMangerProtect20.0.0.722

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj BonanzaDeals, Delta Toolbar, FT Downloader, GoPhoto.it, Quick start, TheHDvid-Codec V10
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy istartsurf.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

 

 

 

.

Nie pokazałeś wynikowego fixlog.txt. Zakładam, że wszystko w środku było oznaczone jako przetworzone. Końcowe kroki:

 

1. Usuń D:\LOGI\FRST. Zastosuj też DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starą wtyczkę dla IE: Adobe Flash Player 11 ActiveX.

 

 

 

.

Doskonale to rozumiem, ale nie każdego stać na pudełko z windą.

Tu nie jest pewne czy to pełnosprawny i czysty Windows. Brak Windows Defender jest niejasny, nie wiadomo czy to kastracja w płycie, czy wynik innych czynników.

 

Na koniec jeszcze te kroki:

 

1. Usuń C:\Users\Adrian\Downloads\FRST. Zastosuj też DelFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

Nie wiem czy to juz wszystko, jednak zauwazylem wielka roznice w otwieraniu aplikacji okien i przegladarki. Prosze o analize tego Fix log i ewentualnie rade jak uniknac podobnej sytucji w przyszlosci.

Różnica in plus? Nie, tu jeszcze nie wszystko. Działania czyszczące nadal w toku. A problemy były wynikiem braku uwagi podczas instalacji: KLIK.

 

Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files\Conduit
C:\Program Files\Enigma Software Group
C:\Program Files\Level Quality Watcher
C:\Program Files\SavingsBull
C:\Program Files\SavingsbullFilter
C:\Program Files (x86)\BetterBrowse
C:\Program Files (x86)\BonanzaDeals
C:\Program Files (x86)\BonanzaDealsLive
C:\Program Files (x86)\Lightspark 0.5.3-git
C:\Program Files (x86)\Plus-HD-9.5
C:\Program Files (x86)\predm
C:\Program Files (x86)\RegClean Pro
C:\Program Files (x86)\SavingsBull
C:\Program Files (x86)\SearchProtect173624963
C:\Program Files (x86)\SmartPCFix
C:\Program Files (x86)\SmartSaver+ 8
C:\Program Files (x86)\SupTab
C:\Program Files (x86)\Systweak Support Dock
C:\Program Files (x86)\Temp

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw log.

 

Oba logi proszę wstaw jako załczniki posta, nie wklejaj w poście bezpośrednio.

 

 

 

.

Tak, kończymy.

 

Odnośnie tego podstępnego rozszerzenia do Chrome, którego pozbycie się wymagało dwóch kliknięć. Naszła mnie przy tym refleksja, że nasze ostatnie zabiegi były jak celowanie z broni artyleryjskiej do celu, który okazał się pająkiem na ścianie

Te zabiegi były po to, by pobrać dane w celu usprawnienia detekcji w FRST, bo on tego nie wykrywał. Niestety dane z tematu nie udzieliły informacji. I nadal nie wiem jak to możliwe, że na dysku nie było folderu rozszerzenia, a przed wyłączeniem było ono sprawne (produkcja reklam). Dopuszczam, że był jakiś błąd / przekręt w preferencjach i ścieżka "Załadowane z:..." mogła nie odpowiadać prawdzie.

 

 

 

.

Sprzątam temat, sklejając posty. Malin105, nadal brakuje raportu FRST Shortcut. Mówiąc, że masz podać raporty z "FRST" przekierowywałam do instrukcji robienia raportów, która jawnie pokazuje ile logów należy dostarczyć z FRST. Już przejdźmy do usuwania adware, ale i tak zostaniesz poproszony o podanie wszystkich logów z FRST. Akcja:

 

1. Przez Panel sterowania odinstaluj:

- Adware: BitGuard, Delta toolbar, FreeSoftToday 008.186.

- Od razu także stare dziurawe aplikacje: Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.4), Java 7 Update 25, Safari.

 

2. Zrób nowy log FRST z opcji Scan, pola Addition i Shortcut mają być zaznaczone, więc postaną trzy logi.

 

 

 

.

Skanowałem komputer i wykryło trojana w pamięci ale go usunęło (podobno)

Proszę wyraźnie w zasadach działu, by podawać konkretne detale takich operacji, tzn. wyciąg ze skanera pokazujący detekcję i konkretną ścieżkę na dysku. Podaj mi te dane, bo na razie nie wiadomo co zostało wykryte.

 

 

A wg raportów infekcja jest nadal aktywna w procesach. Do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-3648106757-2650601888-2698748550-1001\...\Run: [Facebook Update] => %APPDATA%\Microsoft\mstsc.exe
HKU\S-1-5-21-3648106757-2650601888-2698748550-1001\...\Winlogon: [shell] %APPDATA%\Microsoft\mstsc.exe,explorer.exe 
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\ProgramData\McAfee
C:\Users\Hajduk\AppData\Roaming\dclogs
C:\Users\Hajduk\AppData\Roaming\Microsoft\mstsc.exe
C:\Temp
C:\DelFix.txt
EmptyTemp:

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

Skrypt wykonany, kolejne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:
CMD: C:\Users\user\Desktop\ComboFix.exe /uninstall

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, czekaj cierpliwie aż się ukończy. Powstanie kolejny plik fixlog.txt.

 

2. Zastosuj firmowe narzędzie usuwające stare wersje Java: Java Uninstall Tool.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Pokaż też fixlog.txt.

 

Nową odpowiedź już umieść w nowym poście, nie zastępuj poprzednich postów. Mnie tylko chodziło, byś nie pisał dwóch postów pod rząd.

 

 

 

.